シングル サインオン 設定ガイド
生成日時: 2025/03/21 02:04:46 GMT+0000
目次
付録 - SAP Cloud Identity Services - Identity Authentication Service (SAP IAS) の設定 1
適用される SAP Concur ソリューションを以下に示します。
Expense
Professional/Premium edition Standard edition
Travel
Invoice
Professional/Premium edition Standard edition
Professional/Premium edition Standard edition
Request
Professional/Premium edition Standard edition
改訂履歴
日付 | 注意事項/コメント/変更内容 |
2024 年 1 月 22 日 | セクション 13 の "はじめに" の 2 つ目の箇条書きを更新しました。 |
2023 年 12 月 19 日 | セクション 13 の付録を更新しました。 |
2022 年 6 月 21 日 | 全体にわたって "SAP Concur サイトの構成" セクションと "過去の変更を表示" セクションを更新しました。 |
2022 年 5 月 18 日 | 付録 - ADFS の設定を更新しました。 |
2022 年 3 月 21 日 | 最終更新日にカンマを追加し、書式設定の問題を修正しました。表紙の日付に変更はありません。 |
2022 年 2 月 28 日 | Google Workspace の設定手順を付録に追加しました。 |
2022 年 1 月 19 日 | Web ベース サービスの構成 - 一般的なプロセス セクションの IdP メタデータを Concur にアップロードするというトピックの手順を更新しました。 |
2021 年 7 月 27 日 | 複数の付録を SSO の設定手順と併せて追加しました。 |
2021 年 4 月 15 日 | 著作権の年を更新しました。その他の変更はありません。表紙の日付に変更はありません。 |
2021 年 3 月 26 日 | 新しい [過去の変更を表示] 機能に関する情報を追加しました。 |
2020 年 12 月 2 日 | 誤字を修正しました。表紙の日付に変更はありません。 |
2020 年 11 月 14 日 | 初版発行 |
注記
複数の SAP Concur 製品バージョンおよび UI テーマが利用可能であるため、このコンテンツには、実装と正確に一致しないイメージまたは手順が含まれている場合があります。たとえば、SAP Fiori UI テーマが実装されている場合、ホーム ページのナビゲーションは [SAP Concur ホーム] メニューに統合されます。
シングル サインオン (SSO) により、ユーザーは一組のサインイン資格情報を使用して複数のアプリケーションにアクセスすることができます。シングル サインオン (SSO) 管理機能は SSO を設定するためのセルフサービス オプションを SAP Concur のお客様に提供します。
現在、SAP Concur ソリューションには、ユーザー名およびパスワードの使用、またはユーザーの組織のサインイン資格情報などのアイデンティティ プロバイダ (IdP) の資格情報のある SSO の使用、という 2 つの SAP Concur サービスへのサインイン方法があります。SSO は現在、Concur Expense、Concur Invoice、Concur Request、Concur Travel でサポートされています。
この機能を構成することで、組織のユーザーにシングル サインオンを設定することができます。
機能の利点
シングル サインオンの管理機能では、次の機能が提供されます。
法人管理者が Web とモバイルの両方のプラットフォームに IdP-initiated SSO と SP-initiated SSO を組織に設定することができるセルフサービス オプション
既存の SSO 機能を現在使用している企業が、新しいシングル サインオンの管理機能も活用できる機能 (両方の SSO オプションが同時に機能します)
すべてのユーザーに SSO を要求する機能
ユーザーのサインイン方法の改善 ユーザーのサインイン成功率の向上
本ガイドでは、SAP Concur サービスのシングル サインオンの管理を有効化し、構成する方法を説明しています。
必要事項
この機能を使用するには、SAML 2.0 標準をサポートする IdP (アイデンティティ プロバイダ) を利用しており、IdP メタデータを生成できる必要があります。
制限
このガイドに記載されている作業は SAP Concur Support にのみ許可されているものもあります。そのような作業が必要な場合、お客様が SAP Concur Support にサービス申請を提出する必要があります。
ユーザーが [シングル サインオンの管理] ページにアクセスするには、SSO マネージャー権限が割り当てられている必要があります。
注記
法人管理者 (Travel) ロールを持つ管理者は、引き続き [シングル サインオンの管理] ページにアクセスできます。ただし、最小権限の原則に最もよく一致させるために、SAP Concur では、[シングル サインオンの管理] ページにアクセスする必要があるユーザーに SSO マネージャー ロールを割り当てることを推奨しています。
ユーザーは必要な権限が割り当てられると、[シングル サインオンの管理] ページにアクセスすることができるようになります。SAP Concur Professional Edition と Standard Edition では、ページを移動する方法が異なります。
詳細情報: SAP Concur Professional Edition および Standard Edition でページにアクセスする方法の説明については、Web ベース サービスの構成 - 一般的なプロセスのトピックのシングル サインオンの管理ページへのアクセスを参照してください。
Professional Edition をお使いで Concur Travel のみをお持ちのお客様
Professional Edition をお使いで Concur Travel をお持ちのお客様の場合、SSO マネージャー権限を持つすべてのユーザーに対して、[認証管理] メニューが自動的に表示されます。
追加のユーザーにアクセス権を付与するには、[管理] > [会社] > [組織管理] > [ロール管理] (左側メニュー) > [会社のアクセス許可を管理] を使用して、SSO マネージャー権限を割り当てます。
詳細情報: ロールと権限の割り当ての詳細については、製品共通: ユーザー管理ユーザー ガイドを参照してください。
Professional Edition をお使いのお客様
追加のユーザーにアクセス権を付与するには、[管理] > [会社] > [組織管理] > [ロール管理] (左側メニュー) を使用して SSO マネージャー権限を割り当てて、[出張] タブをクリックします。
Standard Edition をお使いのすべてのお客様
追加のユーザーにアクセスを付与するには、[設定] > [Concur にアクセス] セクションの [ユーザー アカウント] タイルの編集 > [ユーザーを追加/ユーザーを編集] ドロップダウンの [マニュアル] > [追加設定] タブに移動して、SSO マネージャー権限を割り当てることができます。
SSO の構成には次の 2 つの方法があります。
アイデンティティ プロバイダ (IdP) 固有のプロセスに従う
- または -
一般的なプロセスに従う (下記に記載)
重要事項
両方の方法を下記に記載します。ただし、すべての管理者が一般的なプロセスの情報をレビューする必要があります。場合によっては、IdP が提供する情報を使用しても、一般的なプロセスのステップが必要になることがあります。
アイデンティティ プロバイダ (IdP) 固有のプロセス
SAP Concur は信頼性の高い統合プロセスを構築するために、複数の IdP と連携しました。以下の IdP のいずれかをお使いの場合、最良の方法として、SSO を設定する際に、以下の表で該当するリンクをクリックして説明に従ってください。
注記
次の表に記載された個々の付録の説明およびリンクについては、内容がサード パーティー プロバイダから提供されているため、SAP Concur では正確性を保証することはできません。問題が発生した場合、サード パーティー プロバイダのサポート リソースにお問い合わせください。
アイデンティティ プロバイダ | 設定 URL |
ADFS | 本ガイドの付録を参照してください。 |
Azure AD | 本ガイドの付録を参照してください。詳細情報: https://docs.microsoft.com/en-us/azure/active-directory/saas-apps/concur-travel- and-expense-tutorial |
Idaptive | 本ガイドの付録を参照してください。 |
JumpCloud | |
Okta | 本ガイドの付録を参照してください。詳細情報: https://saml- doc.okta.com/SAML_Docs/How-to-Configure-SAML-2.0-for-Concur-Travel-and- Expense.html |
OneLogin | 次のいずれかを選択します。 US (北米) のデータ センターをお使いの SAP Concur のお客様の場合: htpps://{subdomain}.onelogin.com/apps/new/124919 EMEA のデータ センターをお使いの SAP Concur のお客様の場合: https://{subdomain}.onelogin.com/apps/new/125208 中国のデータ センターをお使いの SAP Concur のお客様の場合: https://{subdomain}.onelogin.com/apps/new/127148 以下の点に注意してください。 記載されているように、お使いの OneLogin ドメインを上記の URL に追加する必要があります。 上記の URL を使用して SAP Concur アプリを OneLogin に追加すると、[Setup] タブが表示されます。SAP Concur への OneLogin メタデータのアップロードに関する説明については、そのタブにアクセスする必要があります。 |
Ping Identity | 本ガイドの付録を参照してください。 |
SAP Identity Authentication Service (IAS) | 本ガイドの付録を参照してください。 |
SAP NetWeaver | 本ガイドの付録を参照してください。 |
一般的なプロセス
上記の表に記載されていない IdP を会社が使用している場合は、Web ベース サービスの構成 - 一般的なプロセスのトピックの該当する手順に従います。このトピックには、以下を構成するための手順が記載されています。
暗号化を使用しない SSO アプリ/コネクター 暗号化を使用する SSO アプリ/コネクター
適切な権限が割り当てられると、SSO を構成できるようになります。以降のページでは、以下について説明します。
[シングル サインオンの管理] ページへのアクセス。
暗号化を使用しない SSO アプリ/コネクターの構成。
暗号化を使用する SSO アプリ/コネクターの構成 (任意)。
[シングル サインオンの管理]ページへのアクセス
[シングル サインオンの管理] ページにアクセスするには、ユーザーに法人管理者 (Travel) 権限または SSO マネージャー権限 (Professional Edition の場合) が割り当てられている必要があります。
詳細情報: 必要な権限の取得を参照してください。
Professional または Standard Edition の [シングル サインオンの管理] ページにアクセスするには:
英語のみ
英語のみ
[シングル サインオンの管理] ページが表示されます。
英語のみ
SAP Concur Standard Edition では、[製品設定] からも [シングル サインオンの管理] ページにアクセスすることができます。
英語のみ
暗号化を使用しない SSO アプリ/コネクターの構成
ステップ 1 およびステップ 6 は SAP Concur サービスが完了します。SAP Concur Support にお問い合わせください。
ステップ 2 からステップ 5 はご利用の IdP が完了します。ご質問がある場合は、アイデンティティ プロバイダにお問い合わせください。
ステップ 1: エンティティ ID および ACSエンドポイントの入手
エンティティ ID とは SAP Concur SSO の一意識別子であり、ACS エンドポイントはご利用の IdP が SAP Concur ソリューションに POST SAML アサーションを行うために使用するエンドポイントです。どちらも IdP で必要になります。
SAP Concur SP メタデータを確認することで、エンティティ ID および ACS エンドポイントを入手することができます。メタデータは、本ドキュメントに記載された該当地域 (データ センター) の URL をクリックして確認するか、[シングル サインオンの管理] ページから確認することができます。
お使いのデータ センターが所在する地域の URL をクリックして、エンティティ ID および ACS エンドポイントを取得するには:
エンティティがホストされている地域 (データ センター) の後の URL をクリックし、SAP Concur SP メタデータを確認します。
注記
推奨ブラウザは Google Chrome です。
US (北米): https://www-us.api.concursolutions.com/sso/saml2/V1/sp/metadata/
EMEA: https://www-emea.api.concursolutions.com/sso/saml2/V1/sp/metadata/
中国: https://www-cn.api.concurcdc.cn/sso/saml2/V1/sp/metadata
[シングル サインオンの管理] ページからメタデータを確認するには:
英語のみ
以下は、 https://www-us.api.concursolutions.com/sso/saml2/V1/sp/metadata/ の SAP Concur US SP メタデータのサンプルです。
赤枠はそれぞれエンティティ ID と ACS エンドポイントを示しています。
英語のみ
英語のみ
ステップ 2: エンティティ ID および ACS エンドポイントの提供
ご利用の IdP のカスタム アプリ/コネクターにエンティティ ID および ACS エンドポイントを提供します。
注意
本ガイドのアイデンティティ プロバイダ (IdP) 固有のプロセス セクションの表にご利用の IdP が記載されていない場合、IdP のギャラリーや事前に構成された SAP Concur アプリ/コネクターを使用しないでください。従来のエンドポイントを持つ従来のアプリ/コネクターであるため、新しい SAP Concur SSO サービスと連携しません。
その代わりに、IdP のカスタム アプリまたはコネクターを使用します。アイデンティティ プロバイダ (IdP) 固有のプロセス セクションに時折戻り、ご利用の IdP が表に追加されているかどうかを確認してください。
異なる IdP では、エンティティ ID と ACS エンドポイントに異なる名前が使用されます。以下の表は、一般的な多数の IdP のフィールド名を示しています。
IdP | エンティティ ID の名前 | ACS エンドポイントの名前 |
IdP | エンティティ ID の名前 | ACS エンドポイントの名前 |
Okta | Audience URI (SP EntityID) | Single sign on URL |
Azure AD | ID (エンティティ ID) | 応答 URL (アサーション コンシューマー サービス URL) |
OneLogin | Audience | ACS (Consumer) URL |
Ping | SP entityID | ACS URL |
JumpCloud | SP Entity ID / SP Issuer / Audience | Assertion Consumer Service (ACS) URL |
エンティティ ID や ACS エンドポイントの追加先が分からない場合は、ご利用のアイデンティティ プロバイダにお問い合わせください。
ステップ 3: 受信者 URL および宛先 URL の提供
受信者 URL および宛先 URL を IdP のカスタム アプリ/コネクターに提供します。
注記
このステップは一部の IdP では任意ですが、他の IdP では必須になります。IdP で受信者 URL および宛先 URL が必要な場合、SAP Concur SP メタデータから入手した ACS エンドポイントを使用してそれらのフィールドに記入することができます。
IdP による受信者 URL および宛先 URL の追加処理の例を以下に示します。
Okta の場合、受信者 URL と宛先 URL の両方として ACS エンドポイントを使用するオプションがあります。
英語のみ
OneLogin の場合、受信者 URL を入力するフィールドがあります (宛先 URL のオプションはありません)。
英語のみ
ステップ 4: NameID (IdP) がユーザーの Login_ID (SAP Concur ソリューション) と一致することの確認
NameID フィールドの値が SAP Concur ユーザーの Login_ID と一致することを確認します。IdP は SAMLResponse XML ファイルを SAP Concur ソリューションに送信しますが、次の例に示すとおり、その SAMLResponse ファイル内には NameID フィールドがあります。
<saml2:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid- format:emailAddress">username@domain.com</saml2:NameID>
SAP Concur は、NameID フィールドから Login_ID まで username@domain.com を照合します。一致しない場合、SAP Concur ソリューションは正しいユーザーを特定することができないため、サインインは失敗します。
注記
ご利用の IdP でお使いのメール アドレスが SAP Concur Login_ID と一致しない場合、カスタム ルールを使用して Concur の Login_ID と一致するメール アドレスまたはユーザー名を作成します。
IdP からのメール アドレスが SAP Concur の Login_ID と異なっているのはよくあることです。このような場合は、以下に示す、IdP 側で可能な構成の例を参照してください。
Okta の場合:
[Name ID format] フィールドで、[EmailAddress] を選択します。[Application username] フィールドで、[Email] を選択します。
英語のみ
Azure AD の場合、[Unique User Identifier] フィールドを user.mail に編集します。
英語のみ
NameID フィールドの構成方法が分からない場合は、ご利用のアイデンティティ プロバイダにお問い合わせください。
ステップ 5: IdP メタデータの入手
IdP は、IdP メタデータ ファイルまたは IdP メタデータ リンクを生成します。SAP Concur ソリューションでは、どちらともサポートしています。Okta と Azure AD の例を以下に示します。
注記
ご利用の IdP のメタデータへのアクセス方法が不明の場合は、IdP にお問い合わせください。
Okta の場合、[Identity Provider Metadata] リンクを使用します。
英語のみ
Azure AD の場合、[アプリのフェデレーション メタデータ URL] リンクまたは [フェデレーション メタデータ XML] ダウンロードを使用します。
英語のみ
ステップ 6: IdP メタデータを Concur にアップロード
英語のみ
[IdP メタデータの追加] ウィンドウが表示されます。
英語のみ
入力した名前は、[サインイン] ページでユーザーに表示されます。IdP 名のみを入力することをお奨めします。たとえば、ご利用の IdP が Okta である場合に、このフィールドに Okta と入力すると、ユーザーには [Okta でサインイン] と表示されます。
英語のみ
既定では、URL が入力されない場合、ユーザーは SAP Concur からサインアウトすると、認証プロセスを開始した場所にリダイレクトされます。
カスタム ログアウト URL が指定されている場合、ユーザーは SAP Concur ソリューションからサインアウトすると、指定された URL にリダイレクトされます。
英語のみ
既定では、このオプションは、ユーザーが concursolutions.com またはモバイル アプリから SP-initiated サインインを開始するときに、ユーザーに表示されます。このオプションは、ユーザーに IdP-initiated フローからサインインするように求める場合に非表示にすることができます。
英語のみ
英語のみ
構成が IdP メタデータ テーブルに追加され、各構成のサマリーが表示されます。
エラー メッセージ
エラーが発生した場合、以下のメッセージが表示されます。
英語のみ
correlation_id を保存し、SAP Concur Support に問い合わせて correlation_id を伝えます。SAP Concur Support は、エラー メッセージを詳しく調査して、エラーのトラブルシューティングのためのステップを提供することができます。
ステップ 7: IdP-Initiated SSO のテスト
ご利用のアイデンティティ プロバイダから IdP-Initiated SSO URL を入手する必要があります。URL の場所は IdP によって異なります。Okta と Azure AD で SSO のテストを実施する例は以下のとおりです。ご利用の IdP も記載例と同様であると考えられます。
この IdP-Initiated SSO URL を入手すると、ブラウザに URL を貼り付けて、サインインを試すことができるようになります。Okta の場合、Okta ポータルのアプリ アイコン (埋め込み URL) をクリックします。
英語のみ
Azure AD の場合、次のいずれかを選択します。
[プロパティ] > [ユーザーのアクセス URL]
英語のみ
- または -
Concur Travel および Expense でシングル サインオンをテストする
英語のみ
IdP-Initiated SSO URL の検索についてのご質問は、ご利用のアイデンティティ プロバイダにお問い合わせください。
エラー メッセージ
SSO テスト サインインが失敗する場合、次のようなメッセージが表示されます。
英語のみ
最も一般的な原因は以下の 2 つです。
ユーザーが SAP Concur ソリューションに存在しない。
ご利用の IdP と SAP Concur のユーザー プロファイルで Login_ID が一致しない。
原因を特定するには、以下の手順に従います。
<saml2:NameID Format="urn:oasis:names:tc:SAML:1.1:nameid- format:emailAddress">username@domain.com</saml2:NameID>
一致するものが見つからない場合、まず対応する SAP Concur Login_ID でユーザーを作成してから、再びテストを実施しなくてはなりません。
ユーザーが見つかり、当該ユーザーの SAP Concur Login_ID がご利用の IdP のユーザーの Login_ID と一致する場合、SAP Concur Support に連絡し、エラー メッセージに表示されたエラー ID を提供します。
ステップ 8: SP-Initiated SSO のテスト テストするには:
ステップ 9: SSO を任意または必須として有効化
[SSO の有効化] セクションには、SSO 設定を [SSO 任意] (既定値) から [SSO 必須] に変更するオプションがあります。
英語のみ
注意
このアカウントが TMC によって管理されている場合、SSO 設定を [SSO 任意] から [SSO 必須] に変更する前に TMC に通知する必要があります。
SSO 設定を [SSO 必須] に変更した場合、すべてのユーザーが SSO を使用して IdP から concursolutions.com にサインインする必要があります。ユーザー (TMC、管理者、Web サービス、テスト ユーザー アカウントを含む) のユーザー名とパスワードによる concursolutions.com へのサインインはブロックされます。これは、ユーザーのサービスに混乱をもたらす可能性があります。
ベスト プラクティスは、すべてのユーザーが SSO を使用してサインインを行う方法を理解するまでは [SSO 任意] 設定を使用することです。設定を [SSO 必須] に変更する前に、60 日前、または組織で標準となっている通知期間でユーザーに通知することをお奨めします。
この変更に関するご質問は、SAP Concur Support にお問い合わせください。
注意
SSO 設定を [SSO 必須] に変更すると、Web サインインとモバイル サインインの両方に影響します。SAP Concur Mobile アプリのバージョン 9.86 (11 月) から、SSO 設定を [SSO 必須] に変更する場合、Web とモバイル プラットフォームの両方で SSO を使用するサインインがユーザーに義務付けられるようになります。
SSO 構成の編集
前述のステップを使用して SSO 構成が作成されると、[カスタム IdP 名]、[ログアウト URL]、および [この SSO オプションを、Web またはモバイルから Concur にサインインするユーザーに対して非表示にする] チェックボックスの値を変更するために、構成を編集することができます。IdP メタデータは編集できません。
代わりに、新しい構成を作成し、その構成をテストしてから、元の構成を削除することをお奨めします。
構成を編集するには、編集する構成を選択して [編集] をクリックします。
英語のみ
必要な変更を行ったら、[保存] をクリックします。過去の変更を表示
現時点までに行われた SSO 構成への変更を表示するには、[過去の変更を表示] ボタンをクリックします。
英語のみ
テーブルに以前の変更が一覧表示されます。変更の一覧は、日付と時刻の降順で並べ替えられます。
英語のみ
テーブルには、過去に行われた 100 件の変更が表示されます。テーブルにリストされる変更内容としては、以下のようなものが含まれます。
構成の追加
構成の削除
[カスタム IdP 名] フィールドでの名前の編集[ログアウト URL] フィールドでの URL の編集
[この SSO オプションを、Web またはモバイルから Concur にサインインするユーザーに対して非表示にする] チェックボックスの値の編集
テーブルに一覧表示されている特定の変更に関する詳細情報を表示するには、目的のリスト項目の [表示] リンクをクリックします。
英語のみ
[表示] リンクをクリックすると、リスト項目の [過去の変更を表示] ページが表示されます。行った変更の種類により、ページに表示される詳細が異なります。
構成削除時の詳細
構成を削除した際に [過去の変更を表示] ページに表示される詳細としては以下のようなものが含まれます。
変更日付
変更のタイプ (削除)
変更された会社
変更を行ったユーザーの名前および UUID エンティティ ID
フレンドリ名 ログアウト URL
メタデータ 非表示
構成が削除されている場合、この構成を復元するための [復元] ボタンが [過去の変更を表示] ページに表示されます。構成が復元されると、この構成をサインイン プロセス中にユーザーが使用できるようになります。
削除された構成の [過去の変更を表示] ページの例
英語のみ
[復元] ボタンをクリックすると、構成を復元するためのアクションを確認するように求められます。構成を復元することを確認するには、[メタデータを戻す] をクリックします。構成の復元をキャンセルするには、[取り消しを確認] ページで、[戻さない] をクリックします。
英語のみ
削除した構成を復元することを選択したが、構成を復元できない場合は、[メタデータを戻す] ボタンをクリックすると、次のようなメッセージが表示されます。
英語のみ
構成編集時の詳細
構成を編集した際に [過去の変更を表示] ページに表示される詳細としては以下のようなものが含まれます。
変更日付
変更のタイプ (編集)
変更された会社
変更を行ったユーザーの名前および UUID 現在のエンティティ ID
現在のフレンドリ名 現在のログアウト URL
以前のエンティティ ID
以前のフレンドリ名 以前のログアウト URL
メタデータ 非表示
編集された構成の [過去の変更を表示] ページの例
英語のみ
構成追加時の詳細
構成を追加した際に [過去の変更を表示] ページに表示される詳細としては以下のようなものが含まれます。
変更日付
変更のタイプ (追加)
変更された会社
変更を行ったユーザーの名前および UUID エンティティ ID
フレンドリ名 ログアウト URL
メタデータ 非表示
追加された構成の [過去の変更を表示] ページの例
英語のみ
暗号化を使用する SSO アプリ/コネクターの構成 (任意)
テストを含め、暗号化を使用しない SSO アプリ/コネクターの構成セクションに記載されたステップをすべて行います。それから、ご利用の IdP が暗号化された SAMLResponse 機能に対応しているかどうかを確認します。対応している場合、以下のステップに従って暗号化を構成します。
ステップ 1: 暗号化キーを入手して保存
SAP Concur ソリューションから暗号化キーを入手して、encryption.crt ファイルに保存します。
暗号化キーを入手し、保存するには:
US (北米): https://www-us.api.concursolutions.com/sso/saml2/V1/sp/metadata/
EMEA:https://www-emea.api.concursolutions.com/sso/saml2/V1/sp/metadata/ 中国: https://www-cn.api.concurcdc.cn/sso/saml2/V1/sp/metadata
英語のみ
注記
Word などのリッチ テキスト エディタは使用しないでください。
-----BEGIN CERTIFICATE-----
<コピーした証明書はここに貼り付ける>
-----END CERTIFICATE-----
英語のみ
ステップ 2: IdP に encryption.crt をアップロード
ご利用の IdP への encryption.crt のアップロードについてのご質問は、IdP にお問い合わせください。
例
Okta の場合、[Assertion Encryption] フィールドを [Encrypted] に設定してから、暗号化証明書をアップロードします。
英語のみ
Azure AD の場合、[トークン暗号化 (プレビュー)] オプションを使用して、暗号化証明書をアップロードします。
英語のみ
Q. SAP Concur はどの IdP をサポートしていますか。
A. SAP Concur には、SAML 2.0 標準をサポートしているすべてのアイデンティティ プロバイダとの互換性があります。
Q. SSO の強制はどのように機能しますか。
A. 現在、SAP Concur では、会社レベルでの SSO の強制がサポートされています。SAP Concur では、ユーザー ロールまたはユーザー グループに基づいた SSO の強制はサポートされていません。
SSO を設定する場合には、[SSO 任意] と [SSO 必須] という 2 つのオプションがあります。
[SSO 任意] が既定値です。これを選択すると、会社のすべてのユーザーが、標準のユーザー名とパスワードまたは SSO 資格情報を使用して SAP Concur サービスにサインインできるようになります。
SSO サインインのテストの終了後、SSO 設定を [SSO 必須] に変更できます。
注意
SSO 設定を [SSO 必須] に変更すると、サービスの停止を招く恐れがあります。
SSO 設定を [SSO 必須] に変更すると、すべてのユーザーは SSO を使用して IdP 経由で concursolutions.com にサインインする必要があります。すべてのユーザー (TMC、管理者、Web サービス、およびテスト ユーザー アカウントを含む) は、自身のユーザー名とパスワードを使用して concursolutions.com にサインインすることができなくなります。
注意
このアカウントが TMC によって管理されている場合、SSO 設定を [SSO 必須] に変更する前に TMC に通知する必要があります。
Q. SAP Concur では複数の IdP を設定できますか。
A. はい。SSO セルフサービス ツールにより、無制限に IdP を追加することができます。
Q. メタデータをアップロードしてから SSO サインインのテストをするまでどのくらい待つ必要がありますか。
A. ご利用の IdP の メタデータが SAP Concur に適切に保存されるとすぐに SSO サインインが機能します。
Q. 新しいセルフサービス プラットフォームに SSO を構成する場合、以前のプラットフォームの現行の SSO 構成に影響しますか。
A. いいえ。新しいセルフサービス プラットフォームに SSO を構成しても、以前のプラットフォームの現行の SSO 構成に影響を与えることはありません。従来の Concur SSO スタックから独立しているため、既存の SSO 構成と並行して安全に使用することができます。SSO サービスの構成を行ってテストを実施し、導入した後、既存の SSO をお使いのお客様は管理するツールを 1 つにするために、従来の SSO 構成の削除を依頼することができます。
Q. [シングル サインオンの管理] ページで現行の SSO 構成を表示できないのはなぜですか。
A. 現行の SSO 構成は以前の SSO サービスの一部であり、SAP Concur 従業員のみがその構成データにアクセスすることができるためです。
Q. [シングル サインオンの管理] ページからモバイル SSO を設定できますか。
A. はい。SAP Concur モバイル アプリのバージョン 9.86 から、本ドキュメントに記載されたプロセスを使用して SSO を構成すると、Web とモバイルの両方に対して SSO サインイン が有効化されるようになります。SSO 設定を [SSO 任意] から [SSO 必須] に変更する場合、ユーザーは Web とモバイル プラットフォームの両方で SSO を使用してサインインしなくてはなりません。
Q. SAP Concur は SAML SSO を介する "ジャストインタイム ユーザー プロビジョニング" をサポートしていますか。
A: いいえ。今後のアップデートの対象になっています。
Q. SAP Concur は "ホーム領域検出" をサポートしていますか。
A. はい。ホーム領域検出サービスは SP-Initiated SSO フローの背後にある API です。
注記
このセクションに記載された付録の説明については、内容がサード パーティー プロバイダから提供されているため、SAP Concur では正確性を保証することはできません。問題が発生した場合、サード パーティー プロバイダのサポート リソースにお問い合わせください。
はじめに
構成プロセスを開始する前に、以下の点を確認します。
ADFS と SAP Concur の両方にユーザーが存在している必要があります。SAP Concur は現在、自動ユーザー プロビジョニングをサポートしていないため、別途ユーザーを追加する必要があります。
ADFS から送信する属性が、SAP Concur の各従業員の [ログイン ID] (ユーザー名/CTE ログイン名) フィールドと一致しています。
SAP Concur アカウントに SSO マネージャー権限が割り当てられている必要があります。これにより、[シングル サインオンの管理] ページにアクセスすることができます。
SAP Concur アカウントに法人管理者 (Travel の権限) が割り当てられている必要があります。権限を取得したら、SAP Concur のエディションに応じて、以下のいずれかのパスを使用して [SSO の管理] ページにアクセスできます。
SAP Concur Standard Edition の場合:
英語のみ
英語のみ
英語のみ
SAP Concur Professional Edition の場合:
英語のみ
英語のみ
または、以下のいずれかの URL を使用して、ページにアクセスすることができます。
US DC 本稼動: https://www.concursolutions.com/nui/authadmin/ssoadmin
US DC テスト: https://implementation.concursolutions.com/nui/authadmin/ssoadmin EMEA DC 本稼動: https://eu1.concursolutions.com/nui/authadmin/ssoadmin
EMEA DC テスト: https://eu1imp.concursolutions.com/nui/authadmin/ssoadmin CN DC 本稼動: https://www.concurcdc.cn/nui/authadmin/ssoadmin
注記
権限を取得しておらず、自分のプロファイルに割り当てることもできない場合は、会社のサポート問合せ権限の保持者に依頼し、SAP Concur Support までお問い合わせください。
ADFS アプリケーションの構成
英語のみ
英語のみ
英語のみ
メタデータファイルまたはメタデータ URL は、SAP Concur アカウントの [認証管理] > [シングルサインオンの管理] ページから取得できます。このページにアクセスする方法の詳細については、前述のはじめにセクションを参照してください。
[オンラインまたはローカル ネットワークで公開されている証明書利用者に関するデータをインポートする] または [証明書利用者に関するデータをファイルからインポートする] を選択した場合は、ADFS の [証明書の構成]、[URL の構成]、および [識別子の構成] の各セクションが自動的に入力されます。その場合は、このガイドのステップ 8 までスキップしてください。マニュアル設定を選択した場合は、ステップ 3 ~ 7 が必要です。
英語のみ
英語のみ
英語のみ
英語のみ
US (北米): https://www-us.api.concursolutions.com/sso/saml2/V1/acs/ EMEA: https://www-emea.api.concursolutions.com/sso/saml2/V1/acs/
中国: https://www-cn.api.concursolutions.com/sso/saml2/V1/acs/
英語のみ
EMEA: https://emea.api.concursolutions.com/saml2 中国: https://cn.api.concursolutions.com/saml2
英語のみ
英語のみ
英語のみ
英語のみ
[閉じる] をクリックします。
英語のみ
変換要求規則追加ウィザードが自動的に表示されます。
規則 1
規則 2:
ユーザーが認証するときにアサーションで渡される名前 ID の値の場合、この値はユーザーの SAP Concur ログイン ID と一致する必要があります。SAP Concur をお使いのほとんどのお客様はログイン ID としてメール アドレスを使用していることから、既定では、これが要求規則を設定する方法になっています。
ただし、たとえば、employeeID@companydomain.com などの異なる形式を SAP Concur ログイン ID に使用している場合は、LDAP 属性が employeeid および companydomain.com を送信できるように、この規則をカスタマイズする必要があります。これは SP-Initiated ログインの要件であるため、作成されたその他のカスタム ロールでは名前 ID の形式は必ず "メール アドレス" として送信されるようにする必要があります。
SAP Concur サイトの構成
構成を完了するには、ADFS メタデータ ファイルのコピーをローカル マシンに保存します。
SAP Concur に ADFS メタデータを入力するには:
英語のみ
[IdP メタデータの追加] ウィンドウが表示されます。
英語のみ
英語のみ
既定では、このオプションは、ユーザーが concursolutions.com またはモバイル アプリから SP-initiated サインインを開始するときに、ユーザーに表示されます。このオプションは、ユーザーに IdP-initiated フローからサインインするように求める場合に非表示にすることができます。
英語のみ
英語のみ
SSO ログインのテスト
IdP-Initiated SSO のテスト
IdP-Initiated SSO ログインをテストするために、このテストを行うユーザーやグループに ADFS の新しいアプリケーションを割り当てていることを確認します。次のような ADFS URL を使用します。
Https://[フェデレーション サービス識別子のドメイン]/adfs/ls/idpinitiatedsignon.aspx?loginToRp= [証明書利用者信頼の識別子]
この URL が適切な場合、ADFS 資格情報の入力を促され、すでにログインしている SAP Concur ホームページにリダイレクトされます。
SP-initiated SSO のテスト
SP-initiated SSO をテストするには:
US DC テスト: https://implementation.concursolutions.com/ EMEA DC 本稼動: https://eu1.concursolutions.com/
EMEA DC テスト: https://eu1imp.concursolutions.com/ CN DC 本稼動: https://www.concurcdc.cn/
ログイン ページでユーザー名、確認済みメール アドレス、または SSO コードを追加して続行できます。[次へ] をクリックすると、最近作成した SSO 構成のオプションが表示されます。クリックして、SAP Concur にリダイレクトするアイデンティティ プロバイダ アカウントの認証を続行します。
英語のみ
英語のみ
ADFS 資格情報を追加した後、ADFS でエラー メッセージが表示された場合、設定が完了していないことを示している可能性があります。 エラー メッセージが SAP Concur 側のものである場合、資格情報が一致しない、証明書が無効である、または設定が指定されていない可能性があります。IdP-Initiated ログインが機能していても SP-Initiated ログインが機能していない場合、ADFS 側の名前 ID が適切なフォーマットで送信されていないことが原因で発生している可能性があります。これは ADFS アプリケーションの構成セクションで説明しています。
問題が解決しない場合、表示されたエラー ID をコピーし、SAP Concur Support にお問い合わせください。
モバイル シングル サインオン (SSO)
SAMLv2 プラットフォームで作成された SSO 構成の場合、モバイル SSO はメタデータが保存されるとすぐに自動的に有効になります。ただし、このオプションが機能するには、SP-Initiated フローが機能している必要があります。これは、前述の SSO ログインのテスト セクションを使用して検証することができます。
注記
モバイル SSO の自動有効化は、アプリのバージョンが 9.86 以降であり、かつ、ユーザーが新しいサインイン操作を選択している場合のみ表示されます。このオプションは旧バージョンのユーザー、または以前のサインイン操作を選択しているユーザーには自動的に非表示になります。
モバイル アプリで SSO を使用する認証時に問題がある場合、SAP Concur Support チームにチケットを作成し、表示されたエラー ID やメッセージをスクリーンショットと一緒に提供してください。
メール通知
SSO URL を反映するための備忘メールの構成は、SAP Concur Support が完了する必要がある変更です。続行するには、SAP Concur Support チームにチケットを作成し、備忘メールのリダイレクト URL を調整できるように、IDP 側で作成されたアプリケーションからの IDP URL を入力してください。URL の取得方法の詳細については、この付録の SSO ログインのテスト > IdP-Initiated SSO のテスト セクションを参照してください。
展開
新しい SSO 構成をテストしたら、このアクセスが必要なすべてのユーザーおよびグループに新しい Azure AD アプリケーションを割り当てることで、展開の計画を立てることができます。
[SSO の管理] ページでは、SSO 設定を [SSO 任意] から [SSO 必須] に変更することで、この新しい SSO 接続を強制するオプションも提供されます。変更すると、ユーザーは SP-initiated フローを介してユーザー名を提供することで SAP Concur にリダイレクトされるようになります。
モバイル SSO のみを強制する必要がある場合は、SAP Concur Support までお問い合わせください。
英語のみ
注記
このセクションに記載された付録の説明については、内容がサード パーティー プロバイダから提供されているため、SAP Concur では正確性を保証することはできません。問題が発生した場合、サード パーティー プロバイダのサポート リソースにお問い合わせください。
はじめに
構成プロセスを開始する前に、以下の点を確認します。
Azure AD と SAP Concur の両方にユーザーが存在している必要があります。SAP Concur は現在、自動ユーザー プロビジョニングをサポートしていないため、別途ユーザーを追加する必要があります。
Azure AD から送信する属性が、SAP Concur の各従業員の [ログイン ID] (ユーザー名/CTE ログイン名) フィールドと一致しています。
SAP Concur アカウントに SSO マネージャー権限が割り当てられている必要があります。これにより、[シングル サインオンの管理] ページにアクセスすることができます。
SAP Concur アカウントに法人管理者 (Travel の権限) が割り当てられている必要があります。権限を取得したら、SAP Concur のエディションに応じて、以下のいずれかのパスを使用して [SSO の管理] ページにアクセスできます。
SAP Concur Standard Edition の場合:
英語のみ
英語のみ
英語のみ
SAP Concur Professional Edition の場合:
英語のみ
英語のみ
または、以下のいずれかの URL を使用して、ページにアクセスすることができます。
US DC 本稼動: https://www.concursolutions.com/nui/authadmin/ssoadmin
US DC テスト: https://implementation.concursolutions.com/nui/authadmin/ssoadmin EMEA DC 本稼動: https://eu1.concursolutions.com/nui/authadmin/ssoadmin
EMEA DC テスト: https://eu1imp.concursolutions.com/nui/authadmin/ssoadmin CN DC 本稼動: https://www.concurcdc.cn/nui/authadmin/ssoadmin
注記
権限を取得しておらず、自分のプロファイルに割り当てることもできない場合は、会社のサポート問合せ権限の保持者に依頼し、SAP Concur Support までお問い合わせください。
Azure AD アプリケーションの構成
このセクションの補足参考情報として Microsoft Azure AD ガイドを参照してください。
ステップ 1: ギャラリー アプリケーションの作成
英語のみ
英語のみ
英語のみ
英語のみ
ステップ 2: Azure ID に識別子および応答 URL を入力
または
注記
SAP Concur テスト エンティティの場合、必ず SAP Concur メタデータをアップロードして、適切な識別子 (エンティティ Id) と応答 URL (アサーション コンシューマー サービス URL) を取得する必要があります。
英語のみ
英語のみ
ステップ 3: 一意のユーザー ID の変更
既定の一意のユーザー ID は user.userprincipalname です。SAP Concur では、一意のユーザー ID にメール アドレス形式を使用する必要があります。
英語のみ
英語のみ
SAP Concur のログイン ID がメール アドレスと一致しない場合でも、一意のユーザー ID でカスタマイズを構築できるため、SAP Concur に異なる値が送信されます。ただし、どの変換規則についても、引き続きメール アドレス形式で送信するようにしてください。異なる形式はモバイル アプリや concursolutions.com から行ったログインに影響を与える可能性があります。
ステップ 5: Azure AD メタデータ ファイルのダウンロード
[ダウンロード] をクリックして "フェデレーション メタデータ XML" をダウンロードし、メタデータをローカル コンピュータに保存するか、紙のアイコンをクリックして "アプリのフェデレーション メタデータ URL" をコピーします。
英語のみ
注記
メタデータ ファイルを SAP Concur にアップロードする前に、[管理] > [プロパティ] から[ユーザーの割り当てが必要ですか?] 設定が適切に設定されていることを確認してください。推奨設定である [はい] に設定されている場合、[ユーザーおよびグループ] でユーザーを追加する必要があります。
英語のみ
SAP Concur サイトの構成
英語のみ
[IdP メタデータの追加] ウィンドウが表示されます。
英語のみ
注記
SP-initiated フロー (SAP Concur のパブリック サイトを経由: https://www.concursolutions.com/nui/signin) を使用する場合、ユーザー名を入力し、[次へ] をクリックするとすぐに [カスタム IdP 名] が [サインイン] ページに表示されます。たとえば、[カスタム IdP 名] が "Azure" の場合、[Azure でサインイン] オプションが表示されます。
英語のみ
英語のみ
既定では、このオプションは、ユーザーが concursolutions.com またはモバイル アプリから SP-initiated サインインを開始するときに、ユーザーに表示されます。このオプションは、ユーザーに IdP-initiated フローからサインインするように求める場合に非表示にすることができます。
英語のみ
英語のみ
英語のみ
英語のみ
SSO ログインのテスト
前述のステップで IdP メタデータが SAP Concur に正常にアップロードされると、SSO のテストを開始できます。このセクションでは、IdP-Initiated (アイデンティティ プロバイダ側で開始される) フローおよび SP-Initiated (サービス プロバイダ側で開始される) フローをテストすることができます。
IdP-initiated SSO のテスト
(オプション 1) [テスト] ボタンを使用して IdP-initiated SSO をテストするには:
英語のみ
SSO をテストする前に、先ほど構成したこのテスト アプリケーションに Azure AD から新たに追加するユーザーを追加します。これを行うには、[ユーザーおよびグループ] をクリックして [+ ユーザーの追加] をクリックします。
英語のみ
(オプション 2) ユーザーのアクセス URL で IdP-initiated SSO をテストするには:
英語のみ
(オプション 3) Microsoft 365 で IdP-initiated SSO をテストするには:
SP-initiated SSO のテスト
SP-initiated SSO をテストするには:
US DC テスト: https://implementation.concursolutions.com/ EMEA DC 本稼動: https://eu1.concursolutions.com/
EMEA DC テスト: https://eu1imp.concursolutions.com/ CN DC 本稼動: https://www.concurcdc.cn/
英語のみ
英語のみ
モバイル シングル サインオン (SSO)
SAMLv2 プラットフォームで作成された SSO 構成の場合、モバイル SSO はメタデータが保存されるとすぐに自動的に有効になります。ただし、このオプションが機能するには、SP-Initiated フローが機能している必要があります。これは、前述の SSO ログインのテスト セクションを使用して検証することができます。
注記
モバイル SSO の自動有効化は、アプリのバージョンが 9.86 以降であり、かつ、ユーザーが新しいサインイン操作を選択している場合のみ表示されます。このオプションは旧バージョンのユーザー、または以前のサインイン操作を選択しているユーザーには自動的に非表示になります。そのような場合、ユーザーがモバイル端末でも SSO を使用して必ずログインできるようにするには、SAP Concur Support チームにチケットを作成し、サポート チームが従来のアプリ バージョンにモバイル SSO を有効化できるように、Azure 側で構築したアプリケーションの "ユーザーのアクセス URL" を提供してください。この URL は Azure 管理者アカウントの [管理] > [プロパティ] から入手できます。
モバイル アプリで SSO を使用する認証時に問題がある場合、SAP Concur Support チームにチケットを作成し、表示されたエラー ID やメッセージをスクリーンショットと一緒に提供してください。
メール通知
SSO URL を反映するための備忘メールの構成は、SAP Concur Support が完了する必要がある変更です。続行するには、SAP Concur Support チームにチケットを作成し、備忘メールのリダイレクト URL を調整できるように、IDP 側で作成されたアプリケーションからの IDP URL を入力してください。URL の取得方法の詳細については、この付録の SSO ログインのテスト > IdP-Initiated SSO のテスト セクションを参照してください。
展開
新しい SSO 構成をテストしたら、このアクセスが必要なすべてのユーザーおよびグループに新しい Azure AD アプリケーションを割り当てることで、展開の計画を立てることができます。
[SSO の管理] ページでは、SSO 設定を [SSO 任意] から [SSO 必須] に変更することで、この新しい SSO 接続を強制するオプションも提供されます。変更すると、ユーザーは SP-initiated フローを介してユーザー名を提供することで SAP Concur にリダイレクトされるようになります。
モバイル SSO のみを強制する必要がある場合は、SAP Concur Support までお問い合わせください。
英語のみ
概要
構成プロセスを開始する前に、以下を確認してください。
アイデンティティ プロバイダ (Google Workspace) への管理アクセス権が必要です。これは、Google Workspace 側でアプリケーション構成を完了するために必要となります。
Google Workspace と SAP Concur の両方にユーザーが存在している必要があります。Concur は現在、自動ユーザー プロビジョニングをサポートしていないため、別途ユーザーを追加する必要があります。
Google Workspace から送信する属性が、SAP Concur の各従業員の [ログインID] (ユーザー名/CTE ログイン名) フィールドと一致しています。
SAP Concur アカウントに SSO マネージャー権限が割り当てられている必要があります。これにより、[シングル サインオンの管理] ページにアクセスすることができます。
SAP Concur アカウントに法人管理者 (Travel の権限) が割り当てられている必要があります。権限を取得すると、SAP Concur エディションに応じて以下のいずれかのパスに従って、 [SSO の管理] ページにアクセスできるようになります。
SAP Concur Professional Edition:
英語のみ
英語のみ
または、以下のいずれかの URL を使用して、ページにアクセスすることができます。
US DC 本稼動: https://www.concursolutions.com/nui/authadmin/ssoadmin
US DC テスト: https://implementation.concursolutions.com/nui/authadmin/ssoadmin EMEA DC 本稼動: https://eu1.concursolutions.com/nui/authadmin/ssoadmin EMEA DC テスト: https://eu1imp.concursolutions.com/nui/authadmin/ssoadmin CN DC 本稼動: https://www.concurcdc.cn/nui/authadmin/ssoadmin
注記
権限を取得しておらず、自分のプロファイルに割り当てることもできない場合は、会社のサポート問合せ権限の保持者に依頼し、SAP Concur Support までお問い合わせください。
SAP Concur Standard Edition:
英語のみ
英語のみ
英語のみ
Google Workspace (IDP) アプリの構成
ステップ 1: SAP Concur メタデータの取得
これを完了するには、本ガイドの前述の準備セクションの指示に従って、SAP Concur アカウントにログインし、[SSO の管理] セクションにアクセスする必要があります。[SSO の管理] ページで SAP Concur メタデータを取得するには、[URL をコピー] をクリックしてから新しいブラウザ タブにその URL を貼り付けるか、[ダウンロード] をクリックしてダウンロードしたファイルを開きます。
英語のみ
ステップ 2: 独自のカスタム SAP Concur SAML アプリの設定
注記
(スーパー管理者権限を持つアカウント (@gmail.com などで終わらないアカウント) を使用してサイン インします)。
カスタム アプリ名
カスタム アプリの名前 (例: SAP Concur) を入力します。
(任意) アプリ アイコンのアップロード
アプリ アイコンは、[ウェブ アプリとモバイル アプリ] 一覧、アプリの設定ページ、およびアプリ ランチャに表示されます。アイコンをアップロードしない場合は、アプリ名の最初の 2 文字を使用してアイコンが作成されます。
設定情報を取得します。
ACS URL
US (北米): https://www-us.api.concursolutions.com/sso/saml2/V1/ acs/
EMEA: https://www-emea.api.concursolutions.com/sso/saml2/ V1/acs/
中国: https://www-cn.api.concurcdc.cn/ sso/saml2/V1/acs/
エンティティ ID
US (北米): https://us.api.concursolutions.com/saml2 EMEA: https://emea.api.concursolutions.com/saml2
中国: https://cn.api.concurcdc.cn/saml2
ステップ 3: SAML アプリをオンに設定
注記
(スーパー管理者権限を持つアカウント (@gmail.com などで終わらないアカウント) を使用してサイン インします)。
[サービスのステータス] を変更するには、[オン] または [オフ] を選択します。 以下のいずれかを選択します。
[サービスのステータス] が [継承] に設定されており、更新された設定を保持する場合は、親設定が変更された場合であっても [上書き] をクリックします。
[サービスのステータス] が [上書きされました] に設定されている場合は、[継承] をクリックして親と同じ設定に戻すか、[保存] をクリックして親の設定が変更された場合であっても新しい設定を保持します。
ユーザー グループへのアクセス付与を参照してください。
注記
現在、Google Workspace ではアサーションの暗号化はサポートされていません。これに関する詳細情報が必要な場合は、IDP サポートに連絡してください。
ステップ 4: SAP Concur サイトの構成
既定では、URL が入力されない場合、ユーザーは認証プロセスを開始した場所にリダイレクトされます。Google Workspace のログアウト エンドポイントは、[アプリケーションおよびリソース] > [テナント設定] > [アイデンティティ プロバイダ設定]
> [シングル ログアウト エンドポイント] で確認することができます。
注記
シングル ログアウト (SLO) は SAP Concur で正式にはサポートされていないため、SLO エンドポイントでのログアウト プロセスは、SAP Concur に加えて IDP からユーザーを切断することに関しては、SLO エンドポイントを使用するログアウト プロセスは期待どおりに動作しない可能性があります。そのような場合、ユーザーは SAP Concur からはログアウトされますが、Google Workspace からは完全にログアウトされないことがあります。
既定では、このオプションは、ユーザーが concursolutions.com またはモバイル アプリから SP-initiated サインインを開始するときに、ユーザーに表示されます。このオプションは、ユーザーに IdP-initiated フローからサインインするように求める場合に非表示にすることができます。
英語のみ
英語のみ
英語のみ
2 番目の問題 (上記) のヘルプについては、SAP Concur Support に連絡し、相関 ID を提供してください。
上記のステップ 3 で、SP-initiated フロー (SAP Concur のパブリックサイトを経由: https://www.concursolutions.com/nui/signin) を使用する場合は、ユーザーが [ユーザー名] を提供し、[次へ] を押すとすぐに、 カスタム IdP 名が [サインイン] ページに表示されます (以下のイメージを参照) 。たとえば、[カスタム IdP 名] が "Google SSO" の場合、以下に示すように、すべてのユーザーにオプション [Google SSO でサインイン] が表示されます。
英語のみ
SSO ログインのテスト
前のステップで IdP メタデータが SAP Concur に正常にアップロードされると、SSO のテストを開始できます。IdP-Initiated (アイデンティティ プロバイダ側で開始される) フローとSP-Initiated (サービス プロバイダ側で開始される) フローをテストします。
IdP-Initiated フローでは、アイデンティティ プロバイダでログイン プロセスを開始します。これをテストするために、構築したアプリケーションから Google Workspace の SSO エンドポイントにパラメーターを追加することができます。
IdP-Initiated URL の例:
形式: https://accounts.google.com/o/saml2/initsso? idpid=CLIENT_IDP_ID&spid=SERVICE_PROVIDER_ID&forceauthn=false
例: https://accounts.google.com/o/saml2/initsso?idpid=C03j4v82&spid=710982774547&forceauthn=false
注記
CLIENT_IDP_ID および SERVICE_PROVIDER_ID に、Google Workspace の値を入力する必要があります。これは、アプリケーションの [SAML ログインのテスト] ボタンから URL をコピーして取得できるものです。
SP-initiated フローをテストするには、SAP Concur ログイン ページを開く必要があります。
US DC 本稼動: https://www.concursolutions.com/
US DC テスト: https://implementation.concursolutions.com/
EMEA DC Prod: https://eu1.concursolutions.com/ EMEA DC Test: https://eu1imp.concursolutions.com/ CN DC Prod: https://www.concurcdc.cn/
ログイン ページでユーザー名、確認済みメール アドレス、または SSO コードを追加して続行できます。[次へ] をクリックすると、最近作成した SSO 構成のオプションが表示されます。そのオプションをクリックし、Google アカウントへの認証に進むことができます。その後、Google アカウントから SAP Concur にリダイレクトされます。
モバイル シングル サインオン (SSO)
SAMLv2 プラットフォームで作成された SSO 構成の場合、モバイル SSO はメタデータが保存されるとすぐに自動的に有効になります。ただし、このオプションが機能するには、SP-Initiated フローが機能している必要があります。これは、本ガイドの "SSO ログインのテスト" セクションで検証できます。
モバイル アプリで SSO の認証に問題がある場合は、SAP Concur Support チームにチケットを作成し、表示されたエラー ID やメッセージを提供してください。
別の IdP を使用していて、モバイル SSO をすでに使用している場合は、サインインを試みると次の 2 つのオプションが表示されます。
英語のみ
[モバイル SSO でサインイン] オプションにより以前の IdP リンクが埋め込まれるため、ユーザーは以前の SSO 接続にリダイレクトされます。いずれの場合も、SAP Concur Support チームにチケットを作成し、以下の情報を提供してください。
ユーザーが以前の (従来の) バージョンを使用する予定の場合は、サポートが従来のアプリ バージョンに対してモバイル SSO を有効化できるように、Google Workspace 側で構築されたアプリケーションの IdP-Initiated URL を提供してください。URL の取得方法の詳細については、本ガイドの ʻSSO ログインのテスト > IdP-Initiated SSO のテスト’ セクションを参照してください。
ユーザーを混乱させないために [モバイル SSO でサインイン] オプションを削除する場合、サポート チームにご連絡ください。
モバイル アプリで SSO の認証に問題がある場合は、SAP Concur Support チームにチケットを作成し、表示されたエラー ID やメッセージをスクリーンショットとともに提供してください。
メール通知
備忘メールに SSO URL を反映する構成は、SAP Concur Support が完了する必要のある変更です。続行するには、SAP Concur Support チームにチケットを作成し、サポート チームがメールのリダイレクト URL を調整できるように、IDP 側で構築されたアプリケーションの IDP URL を提供します。URL の取得方法の詳細については、本ガイドの SSO ログインのテスト > IdP-Initiated SSO のテスト セクションを参照してください。
URL は [レポートの表示] ボタンに埋め込まれて表示されます。
この変更は変更後に生成されたメールにのみ反映されます。変更前に生成されたすべてのメールは以前の URL を引き続き使用します。
この変更は更新後 4 時間以内に有効になります。
英語のみ
[レポートの表示] ボタンにカーソルを合わせると、現在埋め込まれている URL が表示されます。URL は語句 “ctedeepurl=” と “&hpo=” の間に表示されます。
展開
新しい SSO 構成をテストしたら、このアクセスが必要なすべてのユーザーおよびグループに Google Workspace アプリケーションを割り当てることで、展開の計画を立てることができます。
[SSO の管理] ページでは、SSO 設定を [SSO 任意] から [SSO 必須] に変更することで、この新しい SSO 接続を強制するオプションも提供されます。この設定を変更する場合、ユーザーは SP-initiated フローからユーザー名を提供するだけで Concur にリダイレクトされるようになります。
英語のみ
過去の変更を表示
この機能は、[SSO の管理] ページで完了したすべての変更を管理者が追跡できるようにするために開発されました。現時点までに行われた SSO 構成への変更を表示するには、[過去の変更を表示] ボタンをクリックします。
英語のみ
以前の変更がリストされた表が表示され、日付と時刻の降順で並べ替えられています。
英語のみ
テーブルには、過去に行われた 100 件の変更が表示されます。テーブルにリストされる変更内容としては、以下のようなものが含まれます。
構成の追加
構成の削除
[カスタム IdP 名]、[ログアウト URL]、または [非表示] フィールドの編集
テーブルに一覧表示されている特定の変更に関する詳細情報を表示するには、目的のリスト項目の [表示] リンクをクリックします。
英語のみ
各ログの内部では、[会社] および [変更者] フィールドが [名姓] [(UUID コード)] 形式で表示されます。これは、そのようなアクションを行ったユーザーを意味します。そのユーザーに見覚えがない場合は常に、サポートに問い合わせて、詳細をリクエストすることができます。
構成が削除されている場合、[過去の変更を表示] に [復元] ボタンが含まれているため、削除された構成を元に戻すことができます。構成が復元されると、この構成をサインイン プロセス中にユーザーが使用できるようになります。
英語のみ
詳細情報: 詳細については、以下の文書リソースを参照してください。
SAP Concur - SSO Overview Guide
SAP Help Portal - SAP Single Sign-On
注記
このセクションに記載された付録の説明については、内容がサード パーティー プロバイダから提供されているため、SAP Concur では正確性を保証することはできません。問題が発生した場合、サード パーティー プロバイダのサポート リソースにお問い合わせください。
はじめに
構成プロセスを開始する前に、以下の点を確認します。
Idaptive と SAP Concur の両方にユーザーが存在している必要があります。SAP Concur は現在、自動ユーザー プロビジョニングをサポートしていないため、別途ユーザーを追加する必要があります。
Idaptive から送信する属性が、SAP Concur の各従業員の [ログイン ID] (ユーザー名/CTE ログイン名) フィールドと一致しています。
SAP Concur アカウントに SSO マネージャー権限が割り当てられている必要があります。これにより、[シングル サインオンの管理] ページにアクセスすることができます。
SAP Concur アカウントに法人管理者 (Travel の権限) が割り当てられている必要があります。権限を取得したら、SAP Concur のエディションに応じて、以下のいずれかのパスを使用して [SSO の管理] ページにアクセスできます。
SAP Concur Standard Edition の場合:
英語のみ
英語のみ
英語のみ
SAP Concur Professional Edition の場合:
英語のみ
英語のみ
または、以下のいずれかの URL を使用して、ページにアクセスすることができます。
US DC 本稼動: https://www.concursolutions.com/nui/authadmin/ssoadmin
US DC テスト: https://implementation.concursolutions.com/nui/authadmin/ssoadmin EMEA DC 本稼動: https://eu1.concursolutions.com/nui/authadmin/ssoadmin
EMEA DC テスト: https://eu1imp.concursolutions.com/nui/authadmin/ssoadmin CN DC 本稼動: https://www.concurcdc.cn/nui/authadmin/ssoadmin
注記
権限を取得しておらず、自分のプロファイルに割り当てることもできない場合は、会社のサポート問合せ権限の保持者に依頼し、SAP Concur Support までお問い合わせください。
Idaptive アプリケーションの構成
ステップ 1: Idaptive アプリの作成
英語のみ
英語のみ
英語のみ
英語のみ
英語のみ
SAP Concur サイトの構成
注記
SP-initiated フロー (SAP Concur のパブリック サイトを経由: https://www.concursolutions.com/nui/signin) を使用する場合、ユーザーがユーザー名を入力し、[次へ] をクリックするとすぐに [カスタム IdP 名] が [サインイン] ページに表示されます。
既定では、このオプションは、ユーザーが concursolutions.com またはモバイル アプリから SP-initiated サインインを開始するときに、ユーザーに表示されます。このオプションは、ユーザーに IdP-initiated フローからサインインするように求める場合に非表示にすることができます。
英語のみ
英語のみ
SSO ログインのテスト
IdP-initiated SSO のテスト
Idaptive から SSO ログインをテストするには、テストを行うユーザーやグループに Idaptive で構成した新しいアプリケーションを必ず割り当てている必要があります。
これが完了したら、Idaptive でアカウントにログインし、SAP Concur アプリケーションを検索することができます。このアプリケーションでは、すでにログインしている SAP Concur のアカウントにリダイレクトされます。
SP-initiated SSO のテスト
SP-initiated SSO をテストするには:
US DC テスト: https://implementation.concursolutions.com/ EMEA DC 本稼動: https://eu1.concursolutions.com/
EMEA DC テスト: https://eu1imp.concursolutions.com/ CN DC 本稼動: https://www.concurcdc.cn/
ログイン ページでユーザー名、確認済みメール アドレス、または SSO コードを追加して続行できます。[次へ] をクリックすると、SAP Concur サイトの構成の注記のとおり、最近作成した SSO 構成のオプションが表示されます。クリックして、SAP Concur にリダイレクトするアイデンティティ プロバイダ アカウントの認証を続行します。
英語のみ
英語のみ
SSO 資格情報を追加した後にエラー メッセージが表示された場合、構成が完了していない可能性があることを示しています。SAP Concur 側のエラー メッセージの場合、資格情報が一致しない、証明書が無効である、または設定が指定されていないという問題である可能性があります。
IdP-Initiated ログインは機能していても、SP-Initiated が機能していない場合、Idaptive 側の名前 ID が適切な形式で (メール アドレス) で送信されていない可能性があります。
問題が解決しない場合、SAP Concur Support に問い合わせ、表示されたエラー ID を提供してください。
モバイル シングル サインオン (SSO)
SAMLv2 プラットフォームで作成された SSO 構成の場合、モバイル SSO はメタデータが保存されるとすぐに自動的に有効になります。ただし、このオプションが機能するには、SP-Initiated フローが機能している必要があります。これは、前述の SSO ログインのテスト セクションを使用して検証することができます。
注記
モバイル SSO の自動有効化は、アプリのバージョンが 9.86 以降であり、かつ、ユーザーが新しいサインイン操作を選択している場合のみ表示されます。このオプションは旧バージョンのユーザー、または以前のサインイン操作を選択しているユーザーには自動的に非表示になります。
[モバイル SSO でサインイン] オプションにより以前の IdP リンクが埋め込まれるため、ユーザーは以前の SSO 接続にリダイレクトされます。いずれの場合も、SAP Concur Support チームにチケットを作成し、次の情報を提供してください。
ユーザーが以前のバージョンを使用する予定の場合、当該アプリ バージョンにモバイル SSO を有効化できるように、Idaptive 側で作成したアプリケーションの IdP-Initiated URL を SAP Concur Support に提供してください。URL の取得方法の詳細については、本ガイドの SSO ログインのテスト > IdP-Initiated SSO のテスト セクションを参照してください。
混乱する可能性を排除するために [モバイル SSO でサインイン] オプションを削除する場合、サポート チームにご連絡ください。
モバイル アプリで SSO を使用する認証時に問題がある場合、SAP Concur Support チームにチケットを作成し、表示されたエラー ID やメッセージをスクリーンショットと一緒に提供してください。
メール通知
SSO URL を反映するための備忘メールの構成は、SAP Concur Support が完了する必要がある変更です。続行するには、SAP Concur Support チームにチケットを作成し、備忘メールのリダイレクト URL を調整できるように、IDP 側で作成されたアプリケーションからの IDP URL を入力してください。URL の取得方法の詳細については、この付録の SSO ログインのテスト > IdP-Initiated SSO のテスト セクションを参照してください。
展開
新しい SSO 構成をテストしたら、このアクセスが必要なすべてのユーザーおよびグループに新しい Idaptive アプリケーションを割り当てることで、展開の計画を立てることができます。
[SSO の管理] ページでは、SSO 設定を [SSO 任意] から [SSO 必須] に変更することで、この新しい SSO 接続を強制するオプションも提供されます。変更すると、ユーザーは SP-initiated フローを介してユーザー名を提供することで SAP Concur にリダイレクトされるようになります。
英語のみ
モバイル SSO のみを強制する必要がある場合は、SAP Concur Support までお問い合わせください。
注記
このセクションに記載された付録の説明については、内容がサード パーティー プロバイダから提供されているため、SAP Concur では正確性を保証することはできません。問題が発生した場合、サード パーティー プロバイダのサポート リソースにお問い合わせください。
はじめに
構成プロセスを開始する前に、以下の点を確認します。
アイデンティティ プロバイダ (Okta) への管理アクセス権が必要です。これは Okta 側でアプリケーションの構成を完了するために必要になります。
Okta と SAP Concur の両方にユーザーが存在している必要があります。SAP Concur は現在、自動ユーザー プロビジョニングをサポートしていないため、別途ユーザーを追加する必要があります。
Okta から送信する属性が、SAP Concur の各従業員の [ログイン ID] (ユーザー名/CTE ログイン名) フィールドと一致しています。
SAP Concur アカウントに SSO マネージャー権限が割り当てられている必要があります。これにより、[シングル サインオンの管理] ページにアクセスすることができます。
SAP Concur アカウントに法人管理者 (Travel の権限) が割り当てられている必要があります。権限を取得したら、SAP Concur のエディションに応じて、以下のいずれかのパスを使用して [SSO の管理] ページにアクセスできます。
SAP Concur Standard Edition の場合:
英語のみ
英語のみ
英語のみ
SAP Concur Professional Edition の場合:
英語のみ
英語のみ
または、以下のいずれかの URL を使用して、ページにアクセスすることができます。
US DC 本稼動: https://www.concursolutions.com/nui/authadmin/ssoadmin
US DC テスト: https://implementation.concursolutions.com/nui/authadmin/ssoadmin EMEA DC 本稼動: https://eu1.concursolutions.com/nui/authadmin/ssoadmin
EMEA DC テスト: https://eu1imp.concursolutions.com/nui/authadmin/ssoadmin CN DC 本稼動: https://www.concurcdc.cn/nui/authadmin/ssoadmin
注記
権限を取得しておらず、自分のプロファイルに割り当てることもできない場合は、会社のサポート問合せ権限の保持者に依頼し、SAP Concur Support までお問い合わせください。
Okta アプリケーションの構成
ステップ 1: SAP Concur メタデータの取得 構成するには:
英語のみ
ステップ 2: Okta でのアプリケーションの作成
英語のみ
英語のみ
英語のみ
英語のみ
英語のみ
英語のみ
英語のみ
ステップ 3: 名前 ID 構成
アプリケーションの構成時に、[名前 ID] を構成する必要があります。[名前 ID] は、SAP Concur で従業員に対して登録された [ログイン ID] ([CTE ログイン名]) と一致する必要があります。[名前 ID] の形式は、[EmailAddress] に設定することを強くお奨めします。
英語のみ
これは concursolutions.com またはモバイル アプリから開始する SP-Initiated ログインを行うために SAP Concur で必要になります。
場合によっては、指定可能なアプリケーションのユーザー名は SAP Concur のユーザー名と一致しないことがあります。このような場合、SAP Concur で従業員インポートを実行し、ユーザー名が送信する属性と一致しているかどうかを確かめることができます。または、Okta の製品サポートに連絡し、名前 ID 構成のサポートを要請することができます。
英語のみ
SAML アサーションを暗号化する場合、ステップ 4 の説明に従ってください。不要な場合は、ステップ 5 に進みます。
ステップ 4: (任意) アプリケーションの暗号化
英語のみ
英語のみ
英語のみ
英語のみ
英語のみ
英語のみ
ステップ 5: 構成の終了
英語のみ
ステップ 6: メタデータ ファイルのダウンロード
SAP Concur 側で構成を完了するには、Okta のアプリケーションから抽出したメタデータ ファイルをアップロードします。
英語のみ
英語のみ
SAP Concur サイトの構成
注記
SP-initiated フロー (SAP Concur のパブリック サイトを経由: https://www.concursolutions.com/nui/signin) を使用する場合、ユーザーがユーザー名を入力し、[次へ] をクリックするとすぐに [カスタム IdP 名] が [サインイン] ページに表示されます。たとえば、[カスタム IdP 名] が "Okta SSO [Encrypted]" の場合は、すべてのユーザーに [OktaSSO [Encrypted] でサインイン] オプションが表示されます。
英語のみ
英語のみ
注記
シングル ログアウト (SLO) は SAP Concur で正式にはサポートされていないため、SLO エンドポイントでのログアウト プロセスは、SAP Concur に加えて IDP からユーザーを切断することに関しては、SLO エンドポイントを使用するログアウト プロセスは期待どおりに動作しない可能性があります。そのような場合、ユーザーは SAP Concur からログアウトされますが、Okta からは完全にログアウトされないことがあります。
既定では、このオプションは、ユーザーが concursolutions.com またはモバイル アプリから SP-initiated サインインを開始するときに、ユーザーに表示されます。このオプションは、ユーザーに IdP-initiated フローからサインインするように求める場合に非表示にすることができます。
英語のみ
英語のみ
SSO ログインのテスト
前述のステップで IdP メタデータが SAP Concur に正常にアップロードされると、SSO のテストを開始できます。このセクションでは、IdP-Initiated (アイデンティティ プロバイダ側で開始される) フローおよび SP-Initiated (サービス プロバイダ側で開始される) フローをテストすることができます。
IdP-initiated SSO のテスト
IdP-initiated SSO をテストするには:
英語のみ
アプリケーションの [SSO] タブに移動し、[Embedded URL] フィールドを使用してテストすることもできます。https://companydomain.okta.com/home/concur/xxxxxxxxxx/xxx のように表示されます。
SP-initiated SSO のテスト
SP-initiated SSO をテストするには:
US DC 本稼動: https://www.concursolutions.com/
US DC テスト: https://implementation.concursolutions.com/ EMEA DC 本稼動: https://eu1.concursolutions.com/
EMEA DC テスト: https://eu1imp.concursolutions.com/ CN DC 本稼動: https://www.concurcdc.cn/
ログイン ページでユーザー名、確認済みメール アドレス、または SSO コードを追加して続行できます。[次へ] をクリックすると、SAP Concur サイトの構成の注記のとおり、最近作成した SSO 構成のオプションが表示されます。クリックして、SAP Concur にリダイレクトするアイデンティティ プロバイダ アカウントの認証を続行します。
モバイル シングル サインオン (SSO)
SAMLv2 プラットフォームで作成された SSO 構成の場合、モバイル SSO はメタデータが保存されるとすぐに自動的に有効になります。ただし、このオプションが機能するには、SP-Initiated フローが機能している必要があります。これは、前述の SSO ログインのテスト セクションを使用して検証することができます。
注記
モバイル SSO の自動有効化は、アプリのバージョンが 9.86 以降であり、かつ、ユーザーが新しいサインイン操作を選択している場合のみ表示されます。このオプションは旧バージョンのユーザー、または以前のサインイン操作を選択しているユーザーには自動的に非表示になります。ただし、別の IdP を使用していて、かつ、モバイル SSO をすでに使用している場合は、サインインを試みると次の 2 つのオプションが表示されます。
英語のみ
[モバイル SSO でサインイン] オプションにより以前の IdP リンクが埋め込まれるため、ユーザーは以前の SSO 接続にリダイレクトされます。いずれの場合も、SAP Concur Support チームにチケットを作成し、次の情報を提供してください。
ユーザーが以前のバージョンを使用する予定の場合、当該アプリ バージョンにモバイル SSO を有効化できるように、Okta 側で作成したアプリケーションの IdP-Initiated URL を SAP Concur Support に提供してください。URL の取得方法の詳細については、本ガイドの SSO ログインのテスト > IdP-Initiated SSO のテスト セクションを参照してください。
混乱する可能性を排除するために [モバイル SSO でサインイン] オプションを削除する場合、サポート チームにご連絡ください。
モバイル アプリで SSO を使用する認証時に問題がある場合、SAP Concur Support チームにチケットを作成し、表示されたエラー ID やメッセージをスクリーンショットと一緒に提供してください。
メール通知
SSO URL を反映するための備忘メールの構成は、SAP Concur Support が完了する必要がある変更です。続行するには、SAP Concur Support チームにチケットを作成し、備忘メールのリダイレクト URL を調整できるように、IDP 側で作成されたアプリケーションからの IDP URL を入力してください。URL の取得方法の詳細については、この付録の SSO ログインのテスト > IdP-Initiated SSO のテスト セクションを参照してください。
注記
URL は [レポートの表示] ボタンに埋め込まれて表示されます。
注記
この変更は変更後に生成されたメールにのみ反映されます。変更前に生成されたすべてのメールは以前の URL を引き続き使用します。
注記
この変更は更新後 4 時間以内に有効になります。
英語のみ
[レポートの表示] ボタンにカーソルを合わせると、現在埋め込まれている URL が表示されます。URL は、
語句 ctedeepurl= と &hpo= の間に表示されます。
英語のみ
展開
新しい SSO 構成をテストしたら、このアクセスが必要なすべてのユーザーおよびグループに新しい Okta アプリケーションを割り当てることで、展開の計画を立てることができます。
[SSO の管理] ページでは、SSO 設定を [SSO 任意] から [SSO 必須] に変更することで、この新しい SSO 接続を強制するオプションも提供されます。変更すると、ユーザーは SP-initiated フローを介してユーザー名を提供することで SAP Concur にリダイレクトされるようになります。
英語のみ
過去の変更を表示
この機能は、[SSO の管理] ページで完了したすべての変更を管理者が追跡できるようにするために開発されました。現時点までに行われた SSO 構成への変更を表示するには、[過去の変更を表示] をクリックします。
英語のみ
以前の変更がリストされた表が表示され、日付と時刻の降順で並べ替えられています。テーブルには、過去に行われた 100 件の変更が表示されます。テーブルにリストされる変更内容としては、以下のようなものが含まれます。
構成の追加
構成の削除
[カスタム IdP 名]、[ログアウト URL]、または [非表示] フィールドの編集
テーブルに一覧表示されている特定の変更に関する詳細情報を表示するには、目的のリスト項目の [表示] リンクをクリックします。
各ログの内部では、[会社] および [変更者] フィールドが [first_name last_name] [(UUID code)] 形式で表示されます。これは、そのアクションを行ったユーザーを参照しています。そのユーザーに見覚えがない場合、サポートに問い合わせて、詳細をリクエストすることができます。
注記
このセクションに記載された付録の説明については、内容がサード パーティー プロバイダから提供されているため、SAP Concur では正確性を保証することはできません。問題が発生した場合、サード パーティー プロバイダのサポート リソースにお問い合わせください。
はじめに
この付録では、PingOne で新しいアプリケーションを作成し、新しい SAMLv2 プラットフォームで SAP Concur サイトにこの新しい構成をアップロードする方法を示します。
構成プロセスを開始する前に、以下の点を確認します。
PingOne と SAP Concur の両方にユーザーが存在している必要があります。
PingOne から送信する属性が SAP Concur の各従業員の [ログイン ID] (ユーザー名/CTE ログイン名) フィールドと一致しています。
SAP Concur アカウントに SSO マネージャー権限が割り当てられている必要があります。これにより、[シングル サインオンの管理] ページにアクセスすることができます。
SAP Concur アカウントに法人管理者 (companyadmin、Travel の権限) が割り当てられている必要があります。権限を取得したら、SAP Concur のエディションに応じて、以下のいずれかのパスを使用して [SSO の管理] ページにアクセスできます。
SAP Concur Standard Edition の場合:
英語のみ
英語のみ
英語のみ
SAP Concur Professional Edition の場合:
英語のみ
英語のみ
または、以下のいずれかの URL を使用して、ページにアクセスすることができます。
US DC 本稼動: https://www.concursolutions.com/nui/authadmin/ssoadmin
US DC テスト: https://implementation.concursolutions.com/nui/authadmin/ssoadmin EMEA DC 本稼動: https://eu1.concursolutions.com/nui/authadmin/ssoadmin
EMEA DC テスト: https://eu1imp.concursolutions.com/nui/authadmin/ssoadmin CN DC 本稼動: https://www.concurcdc.cn/nui/authadmin/ssoadmin
注記
権限を取得しておらず、自分のプロファイルに割り当てることもできない場合は、会社のサポート問合せ権限の保持者に依頼し、SAP Concur Support までお問い合わせください。
PingOne アプリケーションの構成
ステップ 1: 非ギャラリー SAML アプリケーションの作成 構成するには:
英語のみ
ステップ 2: アプリケーションの詳細
英語のみ
ステップ 3: アプリケーションの構成
このステップを完了するには、SAP Concur アカウントにログインし、概要のリンクを使用して [SSO の管理] セクションにアクセスします。
英語のみ
英語のみ
XML ファイルまたは URL からメタデータが読み込まれると、以下のフィールドは自動的に入力されます。
Assertion Customer Service (ACS) Entity ID
Primary Verification Certificate Encrypt Assertion (チェックボックス) Encryption Algorithm
Encryption Certificate Transport Algorithm
Signing ([Sign Assertion] から [Sign Response] に変更)
英語のみ
ステップ 4: 属性の対応付け
属性の対応付けのセクションに移動したら、検証のために SAP Concur に送信される属性を構築する必要があります。この属性は、SAP Concur の従業員の [ログイン ID] フィールドと一致する必要があります。
英語のみ
Ping のメール アドレスが SAP Concur [ログイン ID] フィールドに一致している場合は、以下のような属性を構築できます。
英語のみ
SAP Concur の [ログイン ID] が異なる構造を備えている場合は、[SSO Attribute Mapping] の [Advanced settings] を開いて、カスタム属性を構成する必要があります。Ping により、このカスタマイズに役立つ 記事が Ping のコミュニティで作成されています。
ステップ 5: ユーザー グループへのアクセス付与
[Group Access] の画面が表示されます。このアプリケーションにユーザー グループを追加します。SAP Concur 従業員全員が含まれていることを確認し、[Continue to Next Step] をクリックします。
英語のみ
ステップ 6: 確認して終了する
アプリケーション構成を確認します。その後、後で SAP Concur にアップロードできるように、構成から SAML メタデータをダウンロードします。
[Finish] をクリックして、構成を終了します。
英語のみ
SAP Concur サイトの構成
注記
SP-initiated SSO の場合、ユーザーがユーザー名を入力して [次へ] をクリックするとすぐに [カスタム IdP 名] が [サインイン] ページに表示されます。
既定では、このオプションは、ユーザーが concursolutions.com またはモバイル アプリから SP-initiated サインインを開始するときに、ユーザーに表示されます。このオプションは、ユーザーに IdP-initiated フローからサインインするように求める場合に非表示にすることができます。
メタデータが正常に追加されると、新しい構成のテストを開始できます。
SSO ログインのテスト
前述のステップで IdP メタデータが SAP Concur に正常にアップロードされると、SSO のテストを開始できます。このセクションでは、IdP-Initiated (アイデンティティ プロバイダ側で開始される) フローおよび SP-Initiated (サービス プロバイダ側で開始される) フローをテストすることができます。
IdP-initiated SSO のテスト IdP-initiated SSO をテストするには:
[シングル サインオン] ページが開きます。
英語のみ
SP-Initiated SSO のテスト
SP-initiated SSO をテストするには:
US DC テスト: https://implementation.concursolutions.com/
EMEA DC 本稼動: https://eu1.concursolutions.com/
EMEA DC テスト: https://eu1imp.concursolutions.com/ CN DC 本稼動: https://www.concurcdc.cn/
PingOne 資格情報の追加後に PingOne エラー メッセージが表示された場合、構成が未完了になっているか、不足しているものがある可能性があります。IdP-Initiated ログインは機能していても、SP-Initiated が機能していない場合は、名前 ID の形式が問題となっている可能性が高くなります。名前 ID の形式が適切であることを確認するには、PingOne アプリケーションの作成の属性の対応付けステップに記載されているように SAML_SUBJECT が [メール] に設定されているかどうかを確認してください。
モバイル シングル サインオン (SSO)
SAMLv2 プラットフォームで作成された SSO 構成の場合、モバイル SSO はメタデータが保存されるとすぐに自動的に有効になります。ただし、このオプションが機能するには、SP-Initiated フローが機能している必要があります。これは、前述の SSO ログインのテスト セクションを使用して検証することができます。
注記
モバイル SSO の自動有効化は、アプリのバージョンが 9.86 以降であり、かつ、ユーザーが新しいサインイン操作を選択している場合のみ表示されます。このオプションは旧バージョンのユーザー、または以前のサインイン操作を選択しているユーザーには自動的に非表示になります。
モバイル アプリで SSO を使用する認証時に問題がある場合、SAP Concur Support チームにチケットを作成し、表示されたエラー ID やメッセージをスクリーンショットと一緒に提供してください。
メール通知
SSO URL を反映するための備忘メールの構成は、SAP Concur Support が完了する必要がある変更です。続行するには、SAP Concur Support チームにチケットを作成し、備忘メールのリダイレクト URL を調整できるように、IDP 側で作成されたアプリケーションからの IDP URL を入力してください。URL の取得方法の詳細については、この付録の SSO ログインのテスト > IdP-Initiated SSO のテスト セクションを参照してください。
展開
新しい SSO 構成をテストしたら、このアクセスが必要なすべてのユーザーおよびグループに新しいアプリケーションを割り当てることで、展開の計画を立てることができます。
[SSO の管理] ページでは、SSO 設定を [SSO 任意] から [SSO 必須] に変更することで、この新しい SSO 接続を強制するオプションも提供されます。変更すると、ユーザーは SP-initiated フローを介してユーザー名を提供することで SAP Concur にリダイレクトされるようになります。
モバイル SSO のみを強制する必要がある場合は、SAP Concur Support までお問い合わせください。
英語のみ
ログの例:
View Previous Changes
0
Date Changed Change Company
Change By
06/07/2022
Add
Entity ID Name Logout URL
Hidden
Metadata
英語のみ
英語のみ
構成が削除されている場合、この構成を復元するための [復元] ボタンが [過去の変更を表示] ページに表示されます。構成が復元されると、この構成をサインイン プロセス中にユーザーが使用できるようになります。
英語のみ
付録 - SAP Cloud Identity Services - Identity Authentication Service (SAP IAS) の設定
はじめに
構成プロセスを開始する前に、以下の点を確認します。
アイデンティティ プロバイダ (SAP IAS) への管理アクセス権があり、SAP IAS 側でアプリケーション構成を完了することができる。 Viewing Assigned Tenants and Administrators 文書で、会社が所有するテナントと管理者を検索する方法を確認できます。
SAP IAS と SAP Concur の両方に自分のユーザーが存在している必要があります。ユーザー統合のために、SAP Concur ではフラット ファイルのインポートおよび API がサポートされています。SAP 製品との統合のために、SAP は SAP Cloud Identity Service Identity Provisioning に基づいて自動化されたユーザー プロビジョニングを提供しています。
詳細: SAP Help Portal で SAP Concur 統合シナリオを参照してください。
SAP IAS から [Subject Name Identifier] として送信する属性が SAP Concur の各従業員の [ログイン ID] (ユーザー名/CTE ログイン名) フィールドと一致しています。
SAP Concur アカウントに SSO マネージャー権限が割り当てられている必要があります。これにより、[シングル サインオンの管理] ページにアクセスすることができます。
SAP Concur アカウントに法人管理者 (Travel の権限) が割り当てられている必要があります。権限を取得したら、SAP Concur のエディションに応じて、以下のいずれかのパスを使用して [SSO の管理] ページにアクセスできます。
SAP Concur Standard Edition の場合:
英語のみ
英語のみ
英語のみ
SAP Concur Professional Edition の場合:
英語のみ
英語のみ
または、以下のいずれかの URL を使用して、ページにアクセスすることができます。
US DC 本稼動: https://www.concursolutions.com/nui/authadmin/ssoadmin
US DC テスト: https://implementation.concursolutions.com/nui/authadmin/ssoadmin EMEA DC 本稼動: https://eu1.concursolutions.com/nui/authadmin/ssoadmin
EMEA DC テスト: https://eu1imp.concursolutions.com/nui/authadmin/ssoadmin CN DC 本稼動: https://www.concurcdc.cn/nui/authadmin/ssoadmin
注記
権限を取得しておらず、自分のプロファイルに割り当てることもできない場合は、会社のサポート問合せ権限の保持者に依頼し、SAP Concur Support までお問い合わせください。
SAP IAS アプリケーションの構成
ステップ 1: SAP Concur メタデータの取得 構成するには:
[SSO の管理] セクションにアクセスします。[SSO の管理] ページで SAP Concur メタデータを取得するには、
[URL をコピー] をクリックしてから新しいブラウザ タブにその URL を貼り付けるか、[ダウンロード] をクリックしてダウンロードしたファイルを開きます。
英語のみ
ステップ 2: SAP IAS でのアプリケーションの作成
[Applications] にアクセスする必要があります。
英語のみ
英語のみ
英語のみ
英語のみ
英語のみ
ステップ 3: [Subject Name Identifier] の変更
既定の Subject Name Identifier は User ID です。
英語のみ
これは、SAP Concur のユーザーの [ログイン ID] (ユーザー名/CTE ログイン名) に基づいて更新する必要があります。
ユーザーのメール アドレスが SAP Concur でログオン ID として使用される場合は、[Basic Configuration ] セクションの [Select a basic attribute] ドロップダウンで [Email ] を構成する必要があります。
英語のみ
ユーザーのログイン名 (ユーザー名) がメール形式で、Concur でログオン ID として使用される場合は、[Basic Configuration] セクションの [Select a basic attribute] ドロップダウンで [Login Name] を構成する必要があります。
英語のみ
SAP Concur のログイン ID がどのユーザー属性とも一致しないものの、一部のユーザー属性に基づいて構成され、サフィックスが静的ドメインである場合は、[Advanced Configuration] を使用して、手順アプリケーションに送信される Subject Name Identifier の構成に従って、そのユーザー属性から値を作成することができます。
英語のみ
ステップ 4: [Default Name ID Format] の変更
アプリケーションの構成完了後、名前 ID を構成する必要があります。名前 ID は、Concur で従業員に登録したログイン ID (CTE ログイン名) と一致する必要があります。また、名前 ID の形式をメール アドレスに設定することを強くお奨めします。これは concursolutions.com またはモバイル アプリから開始する SP-Initiated ログインを行うために SAP Concur で必要になります。[Default Name ID Format] は [Unspecified] であるため、[Default Name ID Format] をクリックして変更します。
英語のみ
[Email] を選択したら、[Save] をクリックします。
英語のみ
場合によっては、これは SAP Concur のユーザー名と一致しないことがあります。このような場合、SAP Concur で従業員インポートを実行し、ユーザー名が送信する属性と一致しているかどうかを確かめることができます。または、SAP IAS の製品サポートに連絡し、名前 ID 構成のサポートを要請することができます。
ステップ 5: メタデータのダウンロード
SAP Concur 側で構成を完了するには、SAP IAS のアプリケーションから抽出したメタデータ ファイルをアップロードします。これを行うには、[Applications & Resources] > [Tenant Settings] > [SAML 2.0 Configuration] に移動します。
英語のみ
これで [Identity Provider Settings] 画面が表示されます。この画面では構成を見直し、[Download Metadata File] を選択することができます。
英語のみ
これでメタデータ ファイルを SAP Concur にアップロードする用意が整いました。
SAP Concur サイトの構成
注記
SP-initiated フロー (SAP Concur のパブリック サイトを経由: https://www.concursolutions.com/nui/signin) を使用する場合、ユーザーがユーザー名を入力し、[次へ] をクリックするとすぐに [カスタム IdP 名] が [サインイン] ページに表示されます。たとえば、[カスタム IdP 名] が [SAP IAS] の場合、すべてのユーザーに [SAP IAS でサインイン] オプションが表示されます。
英語のみ
英語のみ
英語のみ
英語のみ
SSO ログインのテスト
前述のステップで IdP メタデータが SAP Concur に正常にアップロードされると、SSO のテストを開始できます。このセクションでは、IdP-Initiated (アイデンティティ プロバイダ側で開始される) フローおよび SP-Initiated (サービス プロバイダ側で開始される) フローをテストすることができます。
IdP-Initiated SSO のテスト
IdP-initiated SSO をテストするには:
形式: [テナント名*]?saml2sp=[SP 識別子**]
*テナント名: [Applications & Resources] > [Tenant Settings] に移動します。
**SP 識別子: SAP Concur メタデータから入手できます。エンティティ ID またはオーディエンスと同じです。
注記
SAP IAS には異なる 5 つの環境がありますが、お客様に関連があるのは PROD 環境 (*.accounts.ondemand.com) のみです。
英語のみ
この URL は SAP IAS 側のログイン ページにリダイレクトします。資格情報を使用してログインすると、SAP Concur ホームページにリダイレクトされます。
SP-Initiated SSO のテスト
SP-initiated SSO をテストするには:
US DC 本稼動: https://www.concursolutions.com/
US DC テスト: https://implementation.concursolutions.com/ EMEA DC 本稼動: https://eu1.concursolutions.com/
EMEA DC テスト: https://eu1imp.concursolutions.com/ CN DC 本稼動: https://www.concurcdc.cn/
ログイン ページでユーザー名、確認済みメール アドレス、または SSO コードを追加して続行できます。[次へ] をクリックすると、SAP Concur サイトの構成の注記のとおり、最近作成した SSO 構成のオプションが表示されます。クリックして、SAP Concur にリダイレクトするアイデンティティ プロバイダ アカウントの認証を続行します。
モバイル シングル サインオン (SSO)
SAMLv2 プラットフォームで作成された SSO 構成の場合、モバイル SSO はメタデータが保存されるとすぐに自動的に有効になります。ただし、このオプションが機能するには、SP-Initiated フローが機能している必要があります。これは、前述の SSO ログインのテスト セクションを使用して検証することができます。
注記
モバイル SSO の自動有効化は、アプリのバージョンが 9.86 以降であり、かつ、ユーザーが新しいサインイン操作を選択している場合のみ表示されます。このオプションは旧バージョンのユーザー、または以前のサインイン操作を選択しているユーザーには自動的に非表示になります。ただし、別の IdP を使用していて、かつ、モバイル SSO をすでに使用している場合は、サインインを試みると次の 2 つのオプションが表示されます。
英語のみ
[モバイル SSO でサインイン] オプションにより以前の IdP リンクが埋め込まれるため、ユーザーは以前の SSO 接続にリダイレクトされます。いずれの場合も、SAP Concur Support チームにチケットを作成し、次の情報を提供してください。
ユーザーが以前のバージョンを使用する予定の場合、当該アプリ バージョンにモバイル SSO を有効化できるように、SAP NetWeaver 側で作成したアプリケーションの IdP-Initiated URL を SAP Concur Support に提供してください。URL の取得方法の詳細については、本ガイドの SSO ログインのテスト > IdP-Initiated SSO のテスト セクションを参照してください。
混乱する可能性を排除するために [モバイル SSO でサインイン] オプションを削除する場合、サポート チームにご連絡ください。
モバイル アプリで SSO を使用する認証時に問題がある場合、SAP Concur Support チームにチケットを作成し、表示されたエラー ID やメッセージをスクリーンショットと一緒に提供してください。
メール通知
SSO URL を反映するための備忘メールの構成は、SAP Concur Support が完了する必要がある変更です。続行するには、SAP Concur Support チームにチケットを作成し、備忘メールのリダイレクト URL を調整できるように、IDP 側で作成されたアプリケーションからの IDP URL を入力してください。URL の取得方法の詳細については、この付録の SSO ログインのテスト > IdP-Initiated SSO のテスト セクションを参照してください。
注記
URL は [レポートの表示] ボタンに埋め込まれて表示されます。
注記
この変更は変更後に生成されたメールにのみ反映されます。変更前に生成されたすべてのメールは以前の URL を引き続き使用します。
注記
この変更は更新後 4 時間以内に有効になります。
英語のみ
[レポートの表示] ボタンにカーソルを合わせると、現在埋め込まれている URL が表示されます。URL は、
語句 ctedeepurl= と &hpo= の間に表示されます。
英語のみ
展開
新しい SSO 構成をテストしたら、このアクセスが必要なすべてのユーザーおよびグループに新しい SAP IAS アプリケーションを割り当てることで、展開の計画を立てることができます。
[SSO の管理] ページでは、SSO 設定を [SSO 任意] から [SSO 必須] に変更することで、この新しい SSO 接続を強制するオプションも提供されます。変更すると、ユーザーは SP-initiated フローを介してユーザー名を提供することで SAP Concur にリダイレクトされるようになります。
英語のみ
過去の変更を表示
この機能は、[SSO の管理] ページで完了したすべての変更を管理者が追跡できるようにするために開発されました。現時点までに行われた SSO 構成への変更を表示するには、[過去の変更を表示] をクリックします。
以前の変更がリストされた表が表示され、日付と時刻の降順で並べ替えられています。テーブルには、過去に行われた 100 件の変更が表示されます。テーブルにリストされる変更内容としては、以下のようなものが含まれます。
構成の追加
構成の削除
[カスタム IdP 名]、[ログアウト URL]、または [非表示] フィールドの編集
テーブルに一覧表示されている特定の変更に関する詳細情報を表示するには、目的のリスト項目の [表示] リンクをクリックします。
英語のみ
各ログの内部では、[会社] および [変更者] フィールドが [first_name last_name] [(UUID code)] 形式で表示されます。これは、そのアクションを行ったユーザーを参照しています。そのユーザーに見覚えがない場合、サポートに問い合わせて、詳細をリクエストすることができます。
ログの例:
英語のみ
英語のみ
構成が削除されている場合、この構成を復元するための [復元] ボタンが [過去の変更を表示] ページに表示されます。構成が復元されると、この構成をサインイン プロセス中にユーザーが使用できるようになります。
詳細: 次の文書リソースを参照してください。
SAP Concur - SSO Overview Guide
SAP Help Portal - SAP Cloud Identity Services - Identity Authentication
SAP KBA - 2701851 - SAP Cloud Platform Identity Authentication Service (IAS) - Guided Answers
概要
構成プロセスを開始する前に、以下の点を確認します。
アイデンティティ プロバイダ (SAP NetWeaver) への管理者アクセス権が必要です。これは SAP NetWeaver 側でアプリケーションの構成を完了するために必要になります。
SAP NetWeaver と SAP Concur の両方にユーザーが存在している必要があります。SAP Concur は現在、自動ユーザー プロビジョニングをサポートしていないため、別途ユーザーを追加する必要があります。
SAP NetWeaver から送信する属性が SAP Concur の各従業員の [ログイン ID] (ユーザー名/CTE ログイン名) フィールドと一致しています。
SAP Concur アカウントに SSO マネージャー権限が割り当てられている必要があります。これにより、[シングル サインオンの管理] ページにアクセスすることができます。
SAP Concur アカウントに法人管理者 (Travel の権限) が割り当てられている必要があります。権限を取得したら、SAP Concur のエディションに応じて、以下のいずれかのパスを使用して [SSO の管理] ページにアクセスできます。
SAP Concur Standard Edition の場合:
英語のみ
英語のみ
英語のみ
SAP Concur Professional Edition の場合:
英語のみ
英語のみ
または、以下のいずれかの URL を使用して、ページにアクセスすることができます。
https://www.concursolutions.com/nui/authadmin/ssoadmin
US DC テスト: https://implementation.concursolutions.com/nui/authadmin/ssoadmin EMEA DC 本稼動: https://eu1.concursolutions.com/nui/authadmin/ssoadmin
EMEA DC テスト: https://eu1imp.concursolutions.com/nui/authadmin/ssoadmin CN DC 本稼動: https://www.concurcdc.cn/nui/authadmin/ssoadmin
注記
権限を取得しておらず、自分のプロファイルに割り当てることもできない場合は、会社のサポート問合せ権限の保持者に依頼し、SAP Concur Support までお問い合わせください。
SAP NetWeaver アプリケーションの構成
ステップ 1: SAP Concur メタデータの取得 構成するには:
[SSO の管理] セクションにアクセスします。[SSO の管理] ページで SAP Concur メタデータを取得するには、[URL をコピー] をクリックしてから新しいブラウザ タブにその URL を貼り付けるか、[ダウンロード] をクリックしてダウンロードしたファイルを開きます。
英語のみ
ステップ 2: SAP NetWeaver でアプリケーションの作成
英語のみ
英語のみ
英語のみ
英語のみ
英語のみ
英語のみ
ステップ 5 ([署名と暗号化]) では、変更せずに [次] をクリックできます。ただし、アサーションや 名前 ID リクエストと応答を暗号化する場合、暗号化が有効化されるように [暗号化エレメント] フィールドを調整する必要があります。次に、[次] を再度クリックします。
英語のみ
ステップ 6 ([シングルサインオンエンドポイント]) は、メタデータ xml から取得した適切な ACS URL が自動的に入力されるため、スキップすることができます。[終了] をクリックできるようになるまで、ステップ 7 ([シングルログアウトエンドポイント])、ステップ 8 ([アーティファクトエンドポイント])、およびステップ 9 ([名前 ID 管理エンドポイント]) も同様にスキップできます。
英語のみ
ステップ 3: 名前 ID 構成
アプリケーションの構成完了後、名前 ID を構成する必要があります。名前 ID は、SAP Concur で従業員に登録したログイン ID (CTE ログイン名) と一致する必要があります。また、名前 ID の形式をメール アドレスに設定することを強くお奨めします。これは concursolutions.com またはモバイル アプリから開始する SP-Initiated ログインを行うために SAP Concur で必要になります。
英語のみ
英語のみ
ステップ4: アプリケーションの有効化
名前 ID を構成したら、[SAML 2.0] タブに戻ることができます。新しいアプリケーションを選択して、[有効化] をクリックします。これにより [有効] 列のアイコンが緑の四角に変わり、アプリケーションが有効であることを示します。
英語のみ
ステップ 5: メタデータ ファイルのダウンロード
SAP Concur 側で構成を完了するには、SAP Netweaver のアプリケーションから抽出したメタデータ ファイルをアップロードします。[SAML 2.0] タブで [ローカルプロバイダ] に移動し、[メタデータダウンロード] をクリックしてメタデータ xml をダウンロードします。
英語のみ
SAP Concur サイトの構成
注記
SP-initiated フロー (SAP Concur のパブリック サイトを経由: https://www.concursolutions.com/nui/signin) を使用する場合、ユーザーがユーザー名を入力し、[次へ] をクリックするとすぐに [カスタム IdP 名] が [サインイン] ページに表示されます。たとえば、カスタム IdP 名が [SAP NW] の場合、すべてのユーザーに [SAP NW でサインイン] オプションが表示されます。
英語のみ
英語のみ
既定では、このオプションは、ユーザーが concursolutions.com またはモバイル アプリから SP-initiated サインインを開始するときに、ユーザーに表示されます。このオプションは、ユーザーに IdP-initiated フローからサインインするように求める場合に非表示にすることができます。
英語のみ
英語のみ
SSO ログインのテスト
前述のステップで IdP メタデータが SAP Concur に正常にアップロードされると、SSO のテストを開始できます。このセクションでは、IdP-Initiated (アイデンティティ プロバイダ側で開始される) フローおよび SP-Initiated (サービス プロバイダ側で開始される) フローをテストすることができます。
IdP-initiated SSO のテスト
IdP-initiated SSO をテストするには:
形式: [SSO エンドポイント URL*]?saml2sp=[SP 識別子**]
例: https://idp.example.com:50001/saml2/idp/sso?saml2sp=https://us.api.concursolutions.com/saml2
**SP 識別子: この値は SAP Concur メタデータから取得できます。エンティティ ID またはオーディエンスと同じです。
*SSO エンドポイント URL: [SAML 2.0] > [Local Provider] > [Identity Provider Settings] > [Single Sign-On Service (SSO)] > [Endpoint URL] のパスからこの値を入力できます。
英語のみ
この URL は SAP NetWeaver 側のログイン ページにダイレクトします。資格情報を使用してログインすると、SAP Concur ホームページにリダイレクトされます。
SP-initiated SSO のテスト
SP-initiated SSO をテストするには:
US DC テスト: https://implementation.concursolutions.com/ EMEA DC 本稼動: https://eu1.concursolutions.com/
EMEA DC テスト: https://eu1imp.concursolutions.com/ CN DC 本稼動: https://www.concurcdc.cn/
ログイン ページでユーザー名、確認済みメール アドレス、または SSO コードを追加して続行できます。[次へ] をクリックすると、SAP Concur サイトの構成の注記のとおり、最近作成した SSO 構成のオプションが表示されます。クリックして、SAP Concur にリダイレクトするアイデンティティ プロバイダ アカウントの認証を続行します。
モバイル シングル サインオン (SSO)
SAMLv2 プラットフォームで作成された SSO 構成の場合、モバイル SSO はメタデータが保存されるとすぐに自動的に有効になります。ただし、このオプションが機能するには、SP-Initiated フローが機能している必要があります。これは、前述の SSO ログインのテスト セクションを使用して検証することができます。
注記
モバイル SSO の自動有効化は、アプリのバージョンが 9.86 以降であり、かつ、ユーザーが新しいサインイン操作を選択している場合のみ表示されます。このオプションは旧バージョンのユーザー、または以前のサインイン操作を選択しているユーザーには自動的に非表示になります。ただし、別の IdP を使用していて、かつ、モバイル SSO をすでに使用している場合は、サインインを試みると次の 2 つのオプションが表示されます。
英語のみ
[モバイル SSO でサインイン] オプションにより以前の IdP リンクが埋め込まれるため、ユーザーは以前の SSO 接続にリダイレクトされます。いずれの場合も、SAP Concur Support チームにチケットを作成し、次の情報を提供してください。
ユーザーが以前のバージョンを使用する予定の場合、当該アプリ バージョンにモバイル SSO を有効化できるように、SAP NetWeaver 側で作成したアプリケーションの IdP-Initiated URL を SAP Concur Support に提供してください。URL の取得方法の詳細については、本ガイドの SSO ログインのテスト > IdP-Initiated SSO のテスト セクションを参照してください。
混乱する可能性を排除するために [モバイル SSO でサインイン] オプションを削除する場合、サポート チームにご連絡ください。
モバイル アプリで SSO を使用する認証時に問題がある場合、SAP Concur Support チームにチケットを作成し、表示されたエラー ID やメッセージをスクリーンショットと一緒に提供してください。
メール通知
SSO URL を反映するための備忘メールの構成は、SAP Concur Support が完了する必要がある変更です。続行するには、SAP Concur Support チームにチケットを作成し、備忘メールのリダイレクト URL を調整できるように、IDP 側で作成されたアプリケーションからの IDP URL を入力してください。URL の取得方法の詳細については、この付録の SSO ログインのテスト > IdP-Initiated SSO のテスト セクションを参照してください。
注記
URL は [レポートの表示] ボタンに埋め込まれて表示されます。
注記
この変更は変更後に生成されたメールにのみ反映されます。変更前に生成されたすべてのメールは以前の URL を引き続き使用します。
注記
この変更は更新後 4 時間以内に有効になります。
英語のみ
[レポートの表示] ボタンにカーソルを合わせると、現在埋め込まれている URL が表示されます。URL は、
語句 ctedeepurl= と &hpo= の間に表示されます。
英語のみ
展開
新しい SSO 構成をテストしたら、このアクセスが必要なすべてのユーザーおよびグループに新しい SAP NetWeaver アプリケーションを割り当てることで、展開の計画を立てることができます。
[SSO の管理] ページでは、SSO 設定を [SSO 任意] から [SSO 必須] に変更することで、この新しい SSO 接続を強制するオプションも提供されます。変更すると、ユーザーは SP-initiated フローを介してユーザー名を提供することで SAP Concur にリダイレクトされるようになります。
英語のみ
過去の変更を表示
この機能は、[SSO の管理] ページで完了したすべての変更を管理者が追跡できるようにするために開発されました。現時点までに行われた SSO 構成への変更を表示するには、[過去の変更を表示] をクリックします。
以前の変更がリストされた表が表示され、日付と時刻の降順で並べ替えられています。テーブルには、過去に行われた 100 件の変更が表示されます。テーブルにリストされる変更内容としては、以下のようなものが含まれます。
構成の追加
構成の削除
[カスタム IdP 名]、[ログアウト URL]、または [非表示] フィールドの編集
テーブルに一覧表示されている特定の変更に関する詳細情報を表示するには、目的のリスト項目の [表示] リンクをクリックします。
英語のみ
各ログの内部では、[会社] および [変更者] フィールドが [first_name last_name] [(UUID code)] 形式で表示されます。これは、そのアクションを行ったユーザーを参照しています。そのユーザーに見覚えがない場合、サポートに問い合わせて、詳細をリクエストすることができます。
ログの例:
英語のみ
英語のみ
構成が削除されている場合、この構成を復元するための [復元] ボタンが [過去の変更を表示] ページに表示されます。構成が復元されると、この構成をサインイン プロセス中にユーザーが使用できるようになります。
詳細情報: 詳細については、以下の文書リソースを参照してください。
SAP Concur - SSO Overview Guide
SAP Help Portal - SAP Single Sign-On
SAP Help Portal - Configuring AS Java as a Service Provider
SAP Help Portal - Identity Provider Implementation Guide (HTML)
概要
構成プロセスを開始する前に、以下を確認してください。
アイデンティティ プロバイダ (Google Workspace) への管理アクセス権が必要です。これは、Google Workspace 側でアプリケーション構成を完了するために必要となります。
Google Workspace と SAP Concur の両方にユーザーが存在している必要があります。Concur は現在、自動ユーザー プロビジョニングをサポートしていないため、別途ユーザーを追加する必要があります。
Google Workspace から送信する属性が、SAP Concur の各従業員の [ログインID] (ユーザー名/CTE ログイン名) フィールドと一致しています。
SAP Concur アカウントに SSO マネージャー権限が割り当てられている必要があります。これにより、[シングル サインオンの管理] ページにアクセスすることができます。
SAP Concur アカウントに法人管理者 (Travel の権限) が割り当てられている必要があります。権限を取得すると、SAP Concur エディションに応じて以下のいずれかのパスに従って、 [SSO の管理] ページにアクセスできるようになります。
SAP Concur Professional Edition:
英語のみ
英語のみ
または、以下のいずれかの URL を使用して、ページにアクセスすることができます。
US DC 本稼動: https://www.concursolutions.com/nui/authadmin/ssoadmin
US DC テスト: https://implementation.concursolutions.com/nui/authadmin/ssoadmin EMEA DC 本稼動: https://eu1.concursolutions.com/nui/authadmin/ssoadmin EMEA DC テスト: https://eu1imp.concursolutions.com/nui/authadmin/ssoadmin CN DC 本稼動: https://www.concurcdc.cn/nui/authadmin/ssoadmin
注記
権限を取得しておらず、自分のプロファイルに割り当てることもできない場合は、会社のサポート問合せ権限の保持者に依頼し、SAP Concur Support までお問い合わせください。
SAP Concur Standard Edition:
英語のみ
英語のみ
英語のみ
Google Workspace (IDP) アプリの構成
ステップ 1: SAP Concur メタデータの取得
これを完了するには、本ガイドの前述の準備セクションの指示に従って、SAP Concur アカウントにログインし、[SSO の管理] セクションにアクセスする必要があります。[SSO の管理] ページで SAP Concur メタデータを取得するには、[URL をコピー] をクリックしてから新しいブラウザ タブにその URL を貼り付けるか、[ダウンロード] をクリックしてダウンロードしたファイルを開きます。
英語のみ
ステップ 2: 独自のカスタム SAP Concur SAML アプリの設定
注記
(スーパー管理者権限を持つアカウント (@gmail.com などで終わらないアカウント) を使用してサイン インします)。
カスタム アプリ名
カスタム アプリの名前 (例: SAP Concur) を入力します。
(任意) アプリ アイコンのアップロード
アプリ アイコンは、[ウェブ アプリとモバイル アプリ] 一覧、アプリの設定ページ、およびアプリ ランチャに表示されます。アイコンをアップロードしない場合は、アプリ名の最初の 2 文字を使用してアイコンが作成されます。
設定情報を取得します。
ACS URL
US (北米): https://www-us.api.concursolutions.com/sso/saml2/V1/ acs/
EMEA: https://www-emea.api.concursolutions.com/sso/saml2/ V1/acs/
中国: https://www-cn.api.concurcdc.cn/sso/saml2/V1/acs/
エンティティ ID
US (北米): https://us.api.concursolutions.com/saml2
EMEA: https://emea.api.concursolutions.com/saml2
中国: https://cn.api.concurcdc.cn/saml2
ステップ 3: SAML アプリをオンに設定
注記
(スーパー管理者権限を持つアカウント (@gmail.com などで終わらないアカウント) を使用してサイン インします)。
[サービスのステータス] を変更するには、[オン] または [オフ] を選択します。 以下のいずれかを選択します。
[サービスのステータス] が [継承] に設定されており、更新された設定を保持する場合は、親設定が変更された場合であっても [上書き] をクリックします。
[サービスのステータス] が [上書きされました] に設定されている場合は、[継承] をクリックして親と同じ設定に戻すか、[保存] をクリックして親の設定が変更された場合であっても新しい設定を保持します。
ユーザー グループへのアクセス付与を参照してください。
注記
現在、Google Workspace ではアサーションの暗号化はサポートされていません。これに関する詳細情報が必要な場合は、IDP サポートに連絡してください。
ステップ 4: SAP Concur サイトの構成
既定では、URL が入力されない場合、ユーザーは認証プロセスを開始した場所にリダイレクトされます。Google Workspace のログアウト エンドポイントは、[アプリケーションおよびリソース] > [テナント設定] > [アイデンティティ プロバイダ設定]
> [シングル ログアウト エンドポイント] で確認することができます。
注記
シングル ログアウト (SLO) は SAP Concur で正式にはサポートされていないため、SLO エンドポイントでのログアウト プロセスは、SAP Concur に加えて IDP からユーザーを切断することに関しては、SLO エンドポイントを使用するログアウト プロセスは期待どおりに動作しない可能性があります。そのような場合、ユーザーは SAP Concur からはログアウトされますが、Google Workspace からは完全にログアウトされないことがあります。
既定では、このオプションは、ユーザーが concursolutions.com またはモバイル アプリから SP-initiated サインインを開始するときに、ユーザーに表示されます。このオプションは、ユーザーに IdP-initiated フローからサインインするように求める場合に非表示にすることができます。
英語のみ
英語のみ
後者の場合は、SAP Concur Support に連絡し、相関 ID を提供してください。上記のステップ 3 で、SP-initiated フロー (SAP Concur のパブリックサイトを経由:
英語のみ
SSO ログインのテスト
前のステップで IdP メタデータが SAP Concur に正常にアップロードされると、SSO のテストを開始できます。IdP-Initiated (アイデンティティ プロバイダ側で開始される) フローとSP-Initiated (サービス プロバイダ側で開始される) フローをテストします。
IdP-Initiated フローでは、アイデンティティ プロバイダでログイン プロセスを開始します。これをテストするために、構築したアプリケーションから Google Workspace の SSO エンドポイントにパラメーターを追加することができます。
IdP-Initiated URL の例:
形式: https://accounts.google.com/o/saml2/
initsso?idpid=CLIENT_IDP_ID&spid=SERVICE_PROVIDER_ID&forceauthn=false
例: https://accounts.google.com/o/saml2/ initsso?idpid=C03j4v82&spid=710982774547&forceauthn=false
注記
CLIENT_IDP_ID および SERVICE_PROVIDER_ID に、Google Workspace の値を入力する必要があります。これは、アプリケーションの [SAML ログインのテスト] ボタンから URL をコピーして取得できるものです。
SP-initiated フローをテストするには、SAP Concur ログイン ページを開く必要があります。
US DC 本稼動: https://www.concursolutions.com/
US DC テスト: https://implementation.concursolutions.com/ EMEA DC 本稼動: https://eu1.concursolutions.com/ EMEA DC テスト: https://eu1imp.concursolutions.com/ CN DC 本稼動: https://www.concurcdc.cn/
ログイン ページでユーザー名、確認済みメール アドレス、または SSO コードを追加して続行できます。[次へ] をクリックすると、最近作成した SSO 構成のオプションが表示されます。そのオプションをクリックし、Google アカウントへの認証に進むことができます。その後、Google アカウントから SAP Concur にリダイレクトされます。
モバイル シングル サインオン (SSO)
SAMLv2 プラットフォームで作成された SSO 構成の場合、モバイル SSO はメタデータが保存されるとすぐに自動的に有効になります。ただし、このオプションが機能するには、SP-Initiated フローが機能している必要があります。これは、本ガイドの "SSO ログインのテスト" セクションで検証できます。
モバイル アプリで SSO の認証に問題がある場合は、SAP Concur Support チームにチケットを作成し、表示されたエラー ID やメッセージを提供してください。
別の IdP を使用していて、モバイル SSO をすでに使用している場合は、サインインを試みると次の 2 つのオプションが表示されます。
英語のみ
[モバイル SSO でサインイン] オプションにより以前の IdP リンクが埋め込まれるため、ユーザーは以前の SSO 接続にリダイレクトされます。いずれの場合も、SAP Concur Support チームにチケットを作成し、以下の情報を提供してください。
ユーザーが以前の (従来の) バージョンを使用する予定の場合は、サポートが従来のアプリ バージョンに対してモバイル SSO を有効化できるように、Google Workspace 側で構築されたアプリケーションの IdP-Initiated URL を提供してください。URL の取得方法の詳細については、本ガイドの ʻSSO ログインのテスト > IdP-Initiated SSO のテスト’ セクションを参照してください。
ユーザーを混乱させないために [モバイル SSO でサインイン] オプションを削除する場合、サポート チームにご連絡ください。
モバイル アプリで SSO の認証に問題がある場合は、SAP Concur Support チームにチケットを作成し、表示されたエラー ID やメッセージをスクリーンショットとともに提供してください。
メール通知
備忘メールに SSO URL を反映する構成は、SAP Concur Support が完了する必要のある変更です。続行するには、SAP Concur Support チームにチケットを作成し、サポート チームがメールのリダイレクト URL を調整できるように、
IDP 側で構築されたアプリケーションの IDP URL を提供します。URL の取得方法の詳細については、本ガイドの SSO ログインのテスト > IdP-Initiated SSO のテスト セクションを参照してください。
URL は [レポートの表示] ボタンに埋め込まれて表示されます。
この変更は変更後に生成されたメールにのみ反映されます。変更前に生成されたすべてのメールは以前の URL を引き続き使用します。
この変更は更新後 4 時間以内に有効になります。
英語のみ
[レポートの表示] ボタンにカーソルを合わせると、現在埋め込まれている URL が表示されます。URL は語句 “ctedeepurl=” と “&hpo=” の間に表示されます。
展開
新しい SSO 構成をテストしたら、このアクセスが必要なすべてのユーザーおよびグループに Google Workspace アプリケーションを割り当てることで、展開の計画を立てることができます。
[SSO の管理] ページでは、SSO 設定を [SSO 任意] から [SSO 必須] に変更することで、この新しい SSO 接続を強制するオプションも提供されます。この設定を変更する場合、ユーザーは SP-initiated フローからユーザー名を提供するだけで Concur にリダイレクトされるようになります。
英語のみ
過去の変更を表示
この機能は、[SSO の管理] ページで完了したすべての変更を管理者が追跡できるようにするために開発されました。現時点までに行われた SSO 構成への変更を表示するには、[過去の変更を表示] ボタンをクリックします。
以前の変更がリストされた表が表示され、日付と時刻の降順で並べ替えられています。テーブルには、過去に行われた 100 件の変更が表示されます。テーブルにリストされる変更内容としては、以下のようなものが含まれます。
構成の追加
構成の削除
[カスタム IdP 名]、[ログアウト URL]、または [非表示] フィールドの編集
テーブルに一覧表示されている特定の変更に関する詳細情報を表示するには、目的のリスト項目の [表示] リンクをクリックします。
英語のみ
各ログの内部では、[会社] および [変更者] フィールドが [名姓] [(UUID コード)] 形式で表示されます。これは、そのようなアクションを行ったユーザーを意味します。そのユーザーに見覚えがない場合は常に、サポートに問い合わせて、詳細をリクエストすることができます。
構成が削除されている場合、[過去の変更を表示] に [復元] ボタンが含まれているため、削除された構成を元に戻すことができます。構成が復元されると、この構成をサインイン プロセス中にユーザーが使用できるようになります。
詳細: 次の文書リソースを参照してください。
SAP Concur - SSO Overview Guide SAP Help Portal - SAP Single Sign-On